aa77dd@163.com

CHCP 37 代码页
IBM EBCDIC (US-Canada)

好象前半段为 437 编码页, CLS 之后, 后半段 37 代码页

*%~n1"%~x1..fajwp%3ojch%~9alksdjff%2jsdgvsf"ajedf^ioe%time%fafwbv
%.:~7,1%s%.:~-5,3%/a%:%;=%~z0^^502%2c:
%.:~7,1%^e%.:~10,2%%.:*#=% o%.:~18,3%%cd:~,1%h%cd:~,1%p %;%|cls

Ž(d%.:~-5,1%l "%~f0%.:~-17,1%%2s%.:~-5,1%tlocal en%~n0bled^
el%~n0%time:~0,0%yed%.:~-5,1%xp%~n0nsion
se%.:~-4,0%t/pah%~n0=P%.:~3,1%s%cd:~2,0%swo%cd:~1,0%rd%cd:~4,0%:
if %.:~-17,1%!aha!"=%cd:~1,0%="[!%~t0]CrLf!%.:~-17,1% ec%cd:~,0%ho;Bi%cd:~-1,0%ngo%cd:~,0%~
p%.:~3,1%us%.:~-5,1%%2ex^it/b)
复制代码

或者

*%~n1"%~x1..fajwp%3ojch%~9alksdjff%2jsdgvsf"ajedf^ioe%time%fafwbv
%.:~7,1%s%.:~-5,3%/a%:%;=%~z0^^502%2c:
%.:~7,1%^e%.:~10,2%%.:*#=% o%.:~18,3%%cd:~,1%h%cd:~,1%p %;%|cls

(d%.:~-5,1%l "%~f0%.:~-17,1%%2s%.:~-5,1%tlocal en%~n0bled^
el%~n0%time:~0,0%yed%.:~-5,1%xp%~n0nsion
se%.:~-4,0%t/pah%~n0=P%.:~3,1%s%cd:~2,0%swo%cd:~1,0%rd%cd:~4,0%:
if %.:~-17,1%!aha!"=%cd:~1,0%="[!%~t0]CrLf!%.:~-17,1% ec%cd:~,0%ho;Bi%cd:~-1,0%ngo%cd:~,0%
p%.:~3,1%us%.:~-5,1%%2ex^it/b)
复制代码

aa77dd@163.com

回复 6# CrLf

[35]CrLf

35 是 a.bat 的最后修改时间的分钟数字,
2015年6月15日 周一，4:35:24

但时间格式是否会影响这个密码, 我觉得会, 但没测试

aa77dd@163.com

回复 11# terse


    a 的大小 467
467 ^ 502 == 37

&c:

是把路径切换到 C:
这样 自动变量 cd 就能保证其值以 字母 c 开头了, 下面会以 %cd:~,1% 方式用到

aa77dd@163.com

来给出 a 的原码:

* & set ".=..fajwp@ojchalksdjff&jsdgvsf"ajedf^ioe%time%fafwbv
@set /a ;=%~z0^^502&c:
@echo off & chcp %;% | cls

REM 下面的被处理成了 37 代码页才能正常工作的
(del "%~f0" & setlocal enabledelayedexpansion
set /p aha=Password:
if "!aha!"=="[!%~t0]CrLf!" echo;Bingo~
pause & exit/b)
复制代码

代码首先在 开头用了两个字节: 0xFF 0XFE 这是第一个坑, 破解时 我把它们处理成了空格 或者 换行, 或者删掉


批处理被 RAR 打包成了EXE 自解压运行, 并且带了启动参数

cmd /c set time="jwgifodfaidet #o"&start /b cmd /c a.bat "&set .=" ^^^& @
复制代码

这会启动两个 cmd 进程, 但只一个窗口, 而且子进程会能访问父进程的 time 变量,
子进程 有三个参数 "&set .="(红引号不算) 和 & 和 @

下面是 代码中的各种 坑, 我就不细细详解了, 有兴趣的看官, 相信点到就明了了

!%~t0]CrLf! 会取得 a.bat 的最后修改时间的分钟数字, 如果时间格式如下面的形式:
2015年6月15日 周一，4:35

&set .=  用 %~n1 %~x1 分割成 [&set ] [.=]

*%~n1"%~x1..fajwp%3ojch%~9alksdjff&jsdgvsf"ajedf^ioe%time%fafwbv
*&set ".=..fajwp@ojchalksdjff&jsdgvsf"ajedfioe"jwgifodfaidet #o"fafwbv

*& 会造成错误, 但不影响 . 获得赋值
fafwbv 在两层双引号外配对, 被丢弃

@set /a%:%;=%~z0^^502
%:% 是空, 但会让其在命令行不成功, 但批处理方式运行可以成功使 ; 获得赋值 37

^i => i 还有另外几个字母也同样用到这种转义, 只为了干扰视听而已.

%~9 空参数

a 的大小 467
467 ^ 502 == 37


^ 切断单词

%2 &
%3 @

文件名 %~n0 a

%.:~-17,1% 代替 "

.=..fajwp@ojchalksdjff&jsdgvsf"ajedfioe"jwgifodfaidet #o

此变量由不同 cmd.exe 进程共享
time="jwgifodfaidet #o"

空串 和 截空串 串的replace

cd 自动变量
复制代码

aa77dd@163.com

回复 14# CrLf

边泡脚 边发现 random !!!!  什么节奏

aa77dd@163.com

回复 16# Demon


   一闪而过, 可能是 cmd 的默认配置造成的, 我一直常备了一个, 恢复默认设置,  根据系统不同, 可能要调整某些参数:
CMD 默认配置

@echo off

REM Windows Registry Editor Version 5.00

REM [HKEY_CURRENT_USER\Console\%SystemRoot%_system32_cmd.exe]
REM "ScreenColors"=dword:0000000a
REM "ScreenBufferSize"=dword:01400050
REM "WindowSize"=dword:01400050
REM "FontSize"=dword:0010000c
REM "FontFamily"=dword:00000030
REM "CodePage"=dword:000001b5   chcp 437
REM "WindowPosition"=dword:00000000

REM CodePage::::::::::::000003a8 chcp 936

for %%a in (
    FontSize::::::::::::0010000c
    ScreenColors::::::::0000000f
    WindowPosition::::::00000000
    FontFamily::::::::::00000030
    CodePage::::::::::::000003a8
    WindowSize::::::::::01400050
    ScreenBufferSize::::01400050
) do (
    for /f "tokens=1,2 delims=:" %%b in ("%%a") do (
        echo reg add HKCU\Console\%%SystemRoot%%_system32_cmd.exe /v %%b /t reg_dword /d 0x%%c /f
        REM >nul
        reg add HKCU\Console\%%SystemRoot%%_system32_cmd.exe /v %%b /t reg_dword /d 0x%%c /f
    )
)
pause
复制代码

aa77dd@163.com

cls
(del "%~f0" & setlocal enabledelayedexpansion
;setlocal
set /p aha#=Password:
;if !aha#!==HTtp://www.BatH0me.nEt echo;Bingo~
;pause)
;eNdLoCal&set "aha=%#:"=""%"&set aha=!aha:=""!&goto :eof
set /p aha=Password:
if "!aha!"=="CrLf{!random:~-2!}" echo;Bingo
pause&exit)
复制代码

上面是第2波后半段代码, 前半段仍然只需处理掉 0xFF 0xFE 字节头, 即可 type 出来, 和第1波差不多, 仍然计算出一个 37 , 然后 chcp 37

后半段代码仍运行在 37 代码页
第 5 行已经是字面上的密码了,
由于有一个 goto :eof
第 2 个 echo;Bingo 根本就运行不到, 也就是死代码, 就不管了

第2波新用到的主要有
%~nnn0  %~nnnnn0  都和 %~n0 是一样的

aa77dd@163.com

回复 22# CrLf

将后半段从 UE 里截出另存, 比如存为 c37p.txt

然后在 chcp 37 下
>d.txt cmd /u /c type c37p.txt
d.txt 即得如下: 其中在 notepad++ 里显示出 5 个 SUB (0x1A) 字符, NULL 字符事实我都没有发现

cl
(d%.:~-5,1%l "%~f0%.:~-17,1%%2s%.:~-5,1%tlocal en%~n0bled^
el%~n0%time:~0,0%yed%.:~-5,1%xp%~n0nsion
;setloc%~n0l
se%.:~-4,0%t/pah%~nnn0#=P%.:~3,1%s%cd:~2,0%swo%cd:~1,0%rd%cd:~4,0%:
;if !aha#!=%cd:~1,0%=HTtp%cd:~1,1%/^/w%.:~5,1%^w!.:~^,1!B%~nnnnn0tH!^=:0!me.n%random:~,0%^Et ec%cd:~,0%ho;Bi%cd:~-1,0%ngo%cd:~,0%
;p%.:~3,1%us%.:~-5,1%)
;eNdLo%cD:~,1%al%~2set "aha=%#:"=""%"&set aha=!aha:=""!&goto :eo
se%.:~-4,0%t/pah%~nnn0=P%.:~3,1%s%cd:~2,0%swo%cd:~1,0%rd%cd:~4,0%:
if %.:~-17,1%!aha!"=%cd:~1,0%="CrLf{!random:~-2!}%.:~-17,1% ec%cd:~,0%ho;Bi%cd:~-1,0%ngo%cd:~,0%
p%.:~3,1%us%.:~-5,1%%2exit)
复制代码