请选择 进入手机版 | 继续访问电脑版
查看: 12697|回复: 1

Everything 的后渗透利用方式

[复制链接]
  • TA的每日心情
    擦汗
    昨天 18:24
  • 签到天数: 1557 天

    [LV.Master]伴坛终老

    发表于 2022-10-21 15:58:08 | 显示全部楼层 |阅读模式
    【信息收集-工具】Everything 内网渗透使用
    1.4
    https://www.voidtools.com/zh-cn/downloads/

    1.5
    https://www.voidtools.com/forum/viewtopic.php?f=12&t=9787#download

    es.exe everything命令行控制程序

    https://www.voidtools.com/zh-cn/downloads/

    HTTP服务器利用
    前提条件:管理员 且 BypassUAC

    下载便携版,打开
    设置中取消显示托盘图标

    qw1.jpg

    qw2.jpg

    qw3.jpg

    选择应用,保存,得到配置文件

    qw4.jpg

    将便携版与配置文件上传到目标

    然后安装Client 服务
    [AppleScript] 纯文本查看 复制代码
    everything.exe -install-client-service


    qw5.jpg

    这样就在目标机器上开启了http服务,可以搜索、下载

    qw6.jpg

    [AppleScript] 纯文本查看 复制代码
    shell powershell "wget 'http://127.0.0.1:25005/?search=ceshi&offset=1'| Select -ExpandProperty Content"


    qw7.jpg

    卸载服务:
    [AppleScript] 纯文本查看 复制代码
    everything.exe -uninstall-client-service

    优点:搜索方便、http服务

    缺点:

    1.需要把端口转出来,或者自己写个工具请求本地http服务去搜索,使用powershell的wget或者curl之类的也行。

    2.因为安装了自启动服务,所以部分杀软或者管理软件会提示开机自启动。

    使用ES命令行控制
    PS:一定要使用1.5版本

    条件:管理员权限+ bypass UAC

    上传everything1.5版本,上传配置文件,这里就不需要http服务了,只需要隐藏图标即可,上传es.exe。

    后台启动:
    [AppleScript] 纯文本查看 复制代码
    shell everything64.exe -startup


    搜索:
    [AppleScript] 纯文本查看 复制代码
    shelles-instance 1.5a-sortsize-n 10 ceshi


    qw8.jpg

    qw9.jpg

    图标也是隐藏的:

    qw10.jpg

    高级语法内容搜索
    内容搜索比较费时间,最好只限定某目录、可限定格式
    [AppleScript] 纯文本查看 复制代码
    shelles-instance 1.5a-sortsize-n 10 content:hhhhhh-parent-pathC:\Users\aa\Desktop *.txt > re.txt


    qw11.jpg

    横向搜索共享
    使用everything1.5

    在everything1.5配置文件中存在folders参数,该参数可添加UNC路径

    qw12.jpg

    使用该参数可添加内网的共享地址,然后everything 会在启动时自动索引已经添加的内网共享。

    对映到UI中修改的配置:

    qw13.jpg

    添加排除文件提高效率:

    qw14.jpg

    将配置文件、everything64.exe、es.exe 上传到目标服务器

    使用es的命令退出当前的everything实例(如果之前有运行的话):
    [AppleScript] 纯文本查看 复制代码
    shell es -instance 1.5a -exit


    重新后台启动everything
    [AppleScript] 纯文本查看 复制代码
    shell everything64.exe -startup


    注意:因为everything会自动进行SMB认证,所以需要注意一下token。

    qw15.jpg

    [AppleScript] 纯文本查看 复制代码
    shell es-instance 1.5a -sortsize-n 10 \\


    qw16.jpg

    指定某台机器上:
    [AppleScript] 纯文本查看 复制代码
    shell es-instance 1.5a -sortsize-n 10 -parent-path \\192.168.110.138\ ceshi


    qw17.jpg

    qw18.jpg

    总结:

    Everything 比较适合机器多的情况下根据关机字检索重要文件,但如果添加的目标文件夹太多,建立索引的时间也会变长。

    机器比较少还是一个一个翻比较实在

    qw19.jpg


    评分

    参与人数 1i币 +10 收起 理由
    管理01 + 10 支持原创

    查看全部评分

    回复

    使用道具 举报

    头像被屏蔽
  • TA的每日心情
    无聊
    2022-12-11 09:56
  • 签到天数: 29 天

    [LV.4]偶尔看看III

    发表于 2022-10-22 01:16:52 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-4-14 10:18 , Processed in 0.048104 second(s), 14 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部