华清信安 DiX 研究院：Everything在后渗透阶段中的使用方法

在后渗透阶段，经常需要在拿下一台主机后对该主机的敏感信息进行收集或者长期获取该主机上的文件，这时Everything的便利性就可以很好地体现出来。

1、免杀，作为一个合法的文件搜索工具是毋庸置疑的。

2、功能性强，搜索功能强大，还可以开启HTTP服务和FTP服务。

3、便利性，体积小，可快速部署，甚至有些目标服务器上都安装了Everything。

部署Everything Client Server

下载便携版的Everything

在后渗透中，无论任何形式的攻击，隐蔽都是非常重要的。Everything有着丰富的命令行功能，我们要用到的是它的“安装‘Everything’客户服务”这一功能，它会以服务的形式运行，因此被攻击目标不会产生界面，感知度较低，而且在被攻击目标重启后该服务依旧有效。

利用前的设置：取消在托盘中显示Everything（在应用的上方找到：工具—>选项 ），这样降低了被攻击目标发现异常的可能性。

开启HTTP服务：想要获取被攻击目标主机上的文件，最重要的是开启HTTP和FTP这两个功能。首先，Everything运行需要exe和ini两个文件，所有的选项都是基于ini配置文件，首次运行exe文件会在同目录下自动生成该ini文件，可以选择只上传exe文件，运行后再修改ini文件，但考虑到ini文件修改后需要重启exe才会生效，因此我们选择在本地配置好ini文件，上传exe和ini两个文件。

配置过程如下：勾选启用HTTP服务和FTP服务，都不要选择保存日志，选择“允许文件下载”，端口尽量不选80和21，避免冲突，建议设置密码。

本地浏览器测试

设置好后，将exe文件和ini文件放进同一目录中，通过已经获得的权限上传该目录，以cs和msf做演示，攻击机（windows11，192.168.52.1），kali（192.168.52.129），目标机（192.168.52.132）。

因为个人更加喜欢msf的会话交互方式，所以通过cs将会话转移到msf之上，此处不做演示。在上传目录下使用msf得到的shell中执行命令“everything.exe -install-client-service”以在目标机上开启everything服务。

查看端口以观察服务是否正常启动。

在浏览器中输入正确用户名及其对应密码，可以正常访问。

总结及注意事项

● 将everything在攻击机内配置好（开启HTTP服务，关闭日志，开启HTTP下载）后再将应用程序及其配置文件上传至目标机，同时要设置好密码，避免被非预期用户使用。

● 内网机器要将端口转发出来后再进行访问。

●everything.exe可以任意命名，但ini文件必须使用“Everything.ini”。