本文仅限技术研究与讨论,仅用于信息防御技术,严禁用于非法用途,否则产生的一切后果自行承担!
前段时间在论坛里看到有人讨论Everything不正确配置导致数据泄露风险,然后就想着就写一篇技术搞吧。
0x01 前言
But Everything在安全攻防中的应用早已有之,如下图,就是某种病毒释放Everything为其所用,甚至有些勒索病毒也会用到。病毒运行后会从资源节解出Everything.exe和Everything.ini,之后加载执Everything,用于查找浏览器主程序的文件路径,从配置文件中获取任意一个插件的URL地址,下载插件并调用找到的浏览器程序,安装插件,之后向安装扩展程序的窗体发送确认消息完成插件安装,相关代码如下:
尤其是在后渗透测试阶段,你的目的是长期获取目标上的文件,那么Everything就是一个神器,它的好处在于:
1>免杀,这是毋庸置疑的
2>功能完备,既有强大的搜索功能,还能开HTTP服务和FTP服务
3>体积小,便于部署,有些目标上甚至自带Everything
下面我就抛转引玉了。
0x02 部署Everything Client Server
到了后渗透阶段,隐蔽是最重要的,正所谓”善守者盾于九地之下”。其实,Everything已经很贴心的为我们提供了丰富的命令行功能,你可以参考官网或自带帮助。
我们要用的是他的“客户服务”这个功能,它会以服务的形式运行,因此目标不会产生界面,完全无感,并且重启有效!
获取文件最需要的是开启HTTP和FTP这两个功能。
首先,Everything运行需要exe和ini两个文件,所有的选项都是基于ini配置文件,首次运行exe文件会在同目录下自动生成该ini文件,可以选择只上传exe文件,运行后再修改ini文件,但考虑到ini文件修改后需重启exe才会生效,因此我们选择在本地配置好ini文件,上传exe和ini两个文件。
本地配置ini文件直接在GUI界面的“工具”,“选项”中进行,勾选启用HTTP服务和FTP服务,都不要选择保存日志,选择“允许文件下载”,端口尽量不选80和21,避免冲突,建议设置密码,设置好后,在本地浏览器中测试,如下所示:
设置好后,将两个文件放在一个空目录中,通过已获得权限上传exe文件和ini文件,我用Meterpreter演示,攻
击机kali(192.168.1.130),目标机XP(192.168.1.129)。
Meterpreter中执行upload –r path进行递归上传(把文件夹中的文件全部上传)
回显成功,ls查看是否上传成功
Install and open client-service
执行以下两条命令:
execute -f 'C:\windows\temp\es.exe' -a -install-client-service –H execute -f 'C:\windows\temp\es.exe' -a -start-client-service –H
没有错误提示后,执行netstat –ano查看端口是否开启,我这里在目标XP中查看服务,也已正常启动。
在浏览器中访问,输入用户名密码,可以正常访问。
可以把上传、执行命令写入up-es.rc文件,方便下次执行
upload -r /root/Downloads/ C:\windows\temp execute -f 'C:\windows\temp\es.exe' -a -install-client-service –H execute -f 'C:\windows\temp\es.exe' -a -start-client-service –H
0x03 注意
1>内网机器需要将端口转发出来才可以访问
2>Metepreter中路径需要加双斜杠
3> 这里需要注意exe文件可以改名,但ini文件必须用“Everything.ini
来源:freebuf.com 2020-08-14 11:18:27 by: 星空111
请登录后发表评论
注册