前言
Everything是一款很出名的文件搜索工具,基于文件、文件夹名称的快速搜索的轻量级的软件,而早在几年前就有很多apt组织利用everything来进行文件查找等,前几年在T00ls上也有人发过相关的文章,渗透测试技巧|Everything的利用,事实上在实战中用到的地方还是很多,而且他还是个白进程,支持命令行这一特性能在后渗透中给我们提供很多便利。
优点:搜索方便、http服务,且免杀。
缺点:需要把端口转出来,或者自己写个工具请求本地http服务搜索,使用powershell的wget或者curl之类的也行,因为安装了自启动服务,所以部分杀软或者管理软件会提示开机自启动。
部署Everything 客户端服务器
首先下载 Everything 便携版1.4版本,地址:https://www.voidtools.com/zh-cn/downloads/
获取文件需要的是开启HTTP和FTP这两个功能
首先,Everything运行需要exe和ini两个文件,所有的选项都是基于ini配置文件
首次运行exe文件会在同目录下自动生成该ini文件,可以选择只上传exe文件,运行后再修改ini文件,但考虑到ini文件修改后需重启exe才会生效,因此我们选择在本地配置好ini文件,上传exe和ini两个文件,这里需要注意exe文件可以改名,但ini文件必须用“Everything.ini。
本地配置ini文件,打开设置选项取消显示托盘图标,添加排除列表,再选择其中的排除隐藏文件和目录,排除系统文件和目录,可以添加c盘的windows路径。
部署HTTP服务
我们对其开启http服务,选择启用http服务器,设置接口为本地IP(127.0.0.1),端口设置为9999端口,端口尽量不选80,避免冲突,建议设置密码,设置好后,用户名,密码,这些可以自定义,在勾选中下面允许下载即可。
在本地浏览器中测试,如下所示:
部署FTP服务
对FTP设置,选择启用ETP/FTP服务器,设置接口为127.0.0.1,端口为210,用户名,和密码自定义即可。
使用连接软件测试,如下所述。
通过cs木马将便携版与配置文件上传到目标,然后执行命令,安装 Client 服务,这样就在目标机器上开启了http或FTP服务,可以搜索、下载
everything.exe -install-client-service
可以根据它的搜索语法执行下载等等
powershell "wget 'http://127.0.0.1:9999/?search=cve&offset=1'| Select -ExpandProperty Content"
卸载其服务执行命令
everything.exe -uninstall-client-service
Everything+FTP进行文件搜索
1.首先在选项中,取消托盘显示图标,这样不会被发现,不取消会在托盘出现一个图标,增加暴露风险。
2.启动http服务,设置ip为127.0.0.1,端口为9999自定义端口。 绑定的ip是127.0.0.1,这样的话相关杀毒软件就不会拦截,然后用frp把端口映射出来就完事了,账号密码可以根据自己的需求来设置
实现(UAC权限运行)
1.配置完相关设置后,在Everything的目录下会出现相关配置文件 ,我们只需要exe文件和ini文件即可。其他的不需要,然后将Everything主程序和ini配置文件丢到目标电脑上。
2.用命令行给Everything安装一个自启服务,无感运行,杀软不拦截
Everything.exe -install-client-service