使用 WScript.exe 运行脚本
WScript.exe 是 Windows 脚本宿主的一个版本,用来在 Windows 中运行脚本。WScript.exe 提供了基于 Windows 的对话框,用于设置脚本属性。 使用 WScript.exe,可以通过下列方式在 Windows 下运行脚本:
- 双击文件或图标。包括:“我的计算机”、“Windows 资源管理器”、“查找 ”窗口、“开始 ”菜单或桌面上的文件或图标。
- 在开始 菜单的运行 命令中输入脚本的名字。按开始 按钮, 选择运行 ,然后输入希望运行的脚本的完整名称,包括其扩展名和必要的路径信息。
- 在运行 命令中输入 WScript.exe ,然后写上脚本的名字。按下开始 按钮,选择运行 ,然后输入WScript, 后面写上要运行的脚本的完整名称和路径。
如果被双击的脚本文件的扩展名尚未与 WScript.exe 关联, 出现的将是“打开方式 ”对话框,询问使用什么程序将文件打开。 选择 WScript,然后选中“始终使用该程序打开这种类型的文件 ”选择框,将 WScript 注册具有相同扩展名的所有文件的缺省应用程序。 例如,如果在运行 Chart.vbs 时选中了此选择框,则 WScript.exe 将成为具有 .vbs 扩展名的所有文件的缺省应用程序。
WScript.exe 属性对话框提供了下列选项:
| 属性 | 描述 | 对应的 CSCRIPT 表示 |
|---|---|---|
| 在指定的秒数后停止脚本。 | 指定脚本能够运行的最长秒数。缺省值是无限制。 | //T:nn |
| 当脚本在命令控制台中执行时显示徽标。 | 在运行脚本之前显示标题。这是缺省设置。与此相反的是 //nologo。 | //logo 或 //nologo |
使用 WScript.exe 属性 对话框,可以为 WScript 在本地计算机上运行的所有脚本设置全局脚本选项。 此外,还可以使用 .whf 文件为单独的脚本设置选项。有关细节,请参阅 设置脚本属性 。
如果 Windows 脚本宿主是随 Windows NT(R)2000 带来的, 则不需要提供脚本的文件扩展名。只需要 键入脚本的名称,或者在 Windows 资源管理器中双击脚本即可。
一些恶意文件案例:
https://any.run/report/3aed3315e667eddd7fedb3aa2c65af9c56f9b360d4bc1f5381ed2b0fec28ad7b/bbea9b57-a52f-4e71-a7c5-cb2709da75e5
payload:
- "C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\CPUUsage.vbs"
- "C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\Launcher.vbs"
- "C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\mrsmajorlauncher.vbs"
https://any.run/report/df6d6820ec2e91ba46c3cf68415b7c9775c6284544f0ba5e2e22126e0dbf16cc/174858b8-cf9f-4465-b202-19c2cc8cea9a
payload:
- "C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\compile.vbs"
https://any.run/report/674aec9cc16f05ca5294086be783e1adc164597910b470dd5ce60238772819bd/f362a793-e7c1-4fc8-8365-9426388ea9d1
payload:
- "C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\fSWGZUPoWDfHoEisLI.vbe"
https://any.run/report/77ba7bba82eabb82fd6d35ce24bf45150da2461cb0e6f794960b7ca0cb52e08e/e16695a5-03c3-41bf-977a-a3dcdd88c461
payload:
- "C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Roaming\crack.vbs"
- "C:\Windows\System32\wscript.exe" //B "C:\Users\admin\AppData\Local\Temp\crack.vbs"
使用cscript的案例:
https://any.run/report/3d5d9bc94be3d1b7566a652155b0b37006583868311f20ef00283c30314b5c61/5a31d443-b580-473e-a0d0-a505cec704c3
payload:
- cscript x.js
https://any.run/report/628e54fd63a30da509b1e6006639bfbb457c753d5e029ca0eda32197b06ebb58/7e9bbe25-d396-472b-a288-9bf7d3d611b8
payload:
- "C:\Windows\System32\cscript.exe" "shell_scripts/check_if_cscript_is_working.js"
- "C:\Windows\System32\cscript.exe" shell_scripts/shell_ping_after_close.js "http://i-50.b-000.XYZ.bench.utorrent.com/e?i=50&e=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"
- "C:\Windows\System32\cscript.exe" shell_scripts/shell_ping_after_close.js "http://i-50.b-000.XYZ.bench.utorrent.com/e?i=50&e=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"
https://any.run/report/4d5fe2e9d4b3efb5ae132268bfe1695598867391a08edf5495e476aa6dc39c0d/72c19bff-db25-428c-ada0-686d96c68182
payload:
- cscript "C:\Users\admin\AppData\Local\Temp\IofcTcf.vbs"