Everything 的后渗透利用方式
2022-12-18 16:0:47 Author: Ms08067安全实验室(查看原文) 阅读量:28 收藏

1.4

https://www.voidtools.com/zh-cn/downloads/

1.5

https://www.voidtools.com/forum/viewtopic.php?f=12&t=9787#download

es.exe everything命令行控制程序

https://www.voidtools.com/zh-cn/downloads/

前提条件:管理员 且 BypassUAC

下载便携版,打开

设置中取消显示托盘图标

选择应用,保存,得到配置文件

将便携版与配置文件上传到目标

然后安装 Client 服务

everything.exe -install-client-service

这样就在目标机器上开启了http服务,可以搜索、下载

shell powershell "wget 'http://127.0.0.1:25005/?search=ceshi&offset=1'| Select -ExpandProperty Content"

卸载服务:

everything.exe -uninstall-client-service

优点:搜索方便、http服务

缺点:

1.需要把端口转出来,或者自己写个工具请求本地http服务去搜索,使用powershell的wget或者curl之类的也行。

2.因为安装了自启动服务,所以部分杀软或者管理软件会提示开机自启动。

PS:一定要使用1.5版本

条件:管理员权限 + bypass UAC

上传everything1.5 版本上传配置文件,这里就不需要http服务了,只需要隐藏图标即可上传es.exe

后台启动:

shell everything64.exe -startup

搜索:

shell es -instance 1.5a -sort size -n 10 ceshi

图标也是隐藏的:

内容搜索

内容搜索比较费时间,最好只限定某目录、可限定格式

shell es -instance 1.5a -sort size -n 10 content:hhhhhh -parent-path C:\Users\aa\Desktop *.txt > re.txt

横向搜索共享

使用everything1.5

在everything1.5配置文件中存在folders参数,该参数可添加UNC路径

使用该参数可添加内网的共享地址,然后everything 会在启动时自动索引已经添加的内网共享。

对映到UI中修改的配置:

添加排除文件提高效率:

将配置文件、everything64.exe、es.exe 上传到目标服务器

使用es的命令退出当前的everything实例(如果之前有运行的话):

shell es -instance 1.5a -exit

重新后台启动everything

shell everything64.exe -startup

注意:因为everything会自动进行SMB认证,所以需要注意一下token。

shell es -instance 1.5a -sort size -n 10 \\

指定某台机器上:

shell es -instance 1.5a -sort size -n 10 -parent-path \\192.168.110.138\ ceshi


总结:

Everything 比较适合机器多的情况下根据关机字检索重要文件,但如果添加的目标文件夹太多,建立索引的时间也会变长。

机器比较少还是一个一个翻比较实在


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247504892&idx=2&sn=475d02f46e137d50631c5172a5c6d667&chksm=fc3c6afdcb4be3eb59ceba9c3eaa8238f759d46ee0649dac24b5a7eb5f00a91111469905924f#rd
如有侵权请联系:admin#unsafe.sh