实战攻防演练-利用Everything搜索软件进行内网后渗透利用

前言

Everything是一款很出名的文件搜索工具，基于文件、文件夹名称的快速搜索的轻量级的软件，而早在几年前就有很多apt组织利用everything来进行文件查找等，前几年在T00ls上也有人发过相关的文章，渗透测试技巧|Everything的利用，事实上在实战中用到的地方还是很多，而且他还是个白进程，支持命令行这一特性能在后渗透中给我们提供很多便利。

优点:搜索方便、http服务，且免杀。

缺点:需要把端口转出来，或者自己写个工具请求本地http服务搜索，使用powershell的wget或者curl之类的也行，因为安装了自启动服务，所以部分杀软或者管理软件会提示开机自启动。

部署Everything 客户端服务器

首先下载 Everything 便携版1.4版本，地址：https://www.voidtools.com/zh-cn/downloads/

获取文件需要的是开启HTTP和FTP这两个功能

首先，Everything运行需要exe和ini两个文件，所有的选项都是基于ini配置文件

首次运行exe文件会在同目录下自动生成该ini文件，可以选择只上传exe文件，运行后再修改ini文件，但考虑到ini文件修改后需重启exe才会生效，因此我们选择在本地配置好ini文件，上传exe和ini两个文件，这里需要注意exe文件可以改名，但ini文件必须用“Everything.ini。

本地配置ini文件，打开设置选项取消显示托盘图标，添加排除列表，再选择其中的排除隐藏文件和目录，排除系统文件和目录，可以添加c盘的windows路径。

部署HTTP服务

我们对其开启http服务，选择启用http服务器，设置接口为本地IP(127.0.0.1)，端口设置为9999端口，端口尽量不选80，避免冲突，建议设置密码，设置好后，用户名，密码，这些可以自定义，在勾选中下面允许下载即可。

在本地浏览器中测试，如下所示：

部署FTP服务

对FTP设置,选择启用ETP/FTP服务器，设置接口为127.0.0.1，端口为210，用户名，和密码自定义即可。

使用连接软件测试，如下所述。

通过cs木马将便携版与配置文件上传到目标，然后执行命令，安装 Client 服务，这样就在目标机器上开启了http或FTP服务，可以搜索、下载

everything.exe -install-client-service

可以根据它的搜索语法执行下载等等

powershell "wget 'http://127.0.0.1:9999/?search=cve&offset=1'| Select -ExpandProperty Content"

卸载其服务执行命令

everything.exe -uninstall-client-service

Everything+FTP进行文件搜索

1.首先在选项中，取消托盘显示图标，这样不会被发现，不取消会在托盘出现一个图标，增加暴露风险。

2.启动http服务，设置ip为127.0.0.1，端口为9999自定义端口。 绑定的ip是127.0.0.1，这样的话相关杀毒软件就不会拦截，然后用frp把端口映射出来就完事了，账号密码可以根据自己的需求来设置

实现(UAC权限运行)

1.配置完相关设置后，在Everything的目录下会出现相关配置文件 ，我们只需要exe文件和ini文件即可。其他的不需要，然后将Everything主程序和ini配置文件丢到目标电脑上。

2.用命令行给Everything安装一个自启服务，无感运行，杀软不拦截

Everything.exe -install-client-service