Windows利用漏洞提示器 – 检测潜在缺失修补程序并查找漏洞

  • Windows利用漏洞提示器 – 检测潜在缺失修补程序并查找漏洞已关闭评论
  • A+
所属分类:网络安全工具

Windows漏洞提示器是一款基于Python的工具,可将目标修补程序级别与Microsoft漏洞数据库进行比较,以检测目标上可能缺失的修补程序。它还通知用户是否存在公开漏洞和Metasploit模块可用于缺失的公告。

Windows利用漏洞提示器 - 检测潜在缺失修补程序并查找漏洞

它需要从Windows主机输出'systeminfo'命令,以便比较Microsoft安全公告数据库并确定主机的修补程序级别。

它能够使用--update标志自动从Microsoft下载安全公告数据库,并将其保存为Excel电子表格。

查看命令输出时,需要注意的是,它假定所有漏洞,然后根据修补程序数据选择性地删除它们。这可能会导致很多误报,并且知道目标主机上实际运行的软件是关键。例如,如果有已知的IIS漏洞,即使IIS未在目标主机上运行,​​它也会将其标记出来。

输出显示公开漏洞(E)或Metasploit模块(M),如字符值所示。

它受到Pentura的Linux_Exploit_Suggester深深的启发。

用法:

更新数据库

  1. $ ./windows-exploit-suggester.py --update
  2. [*] initiating...
  3. [*] successfully requested base url
  4. [*] scraped ms download url
  5. [+] writing to file 2018-06-10-mssb.xlsx
  6. [*] done

安装依赖

(安装python-xlrd,$ pip install xlrd --upgrade)

为其提供“systeminfo”输入,并将其指向Microsoft数据库

  1. $ ./windows-exploit-suggester.py --database 2018-06-10-mssb.xlsx --systeminfo win7sp1
  2. -systeminfo.txt
  3. [*] initiating...
  4. [*] database file detected as xls or xlsx based on extension
  5. [*] reading from the systeminfo input file
  6. [*] querying database file for potential vulnerabilities
  7. [*] comparing the 15 hotfix(es) against the 173 potential bulletins(s)
  8. [*] there are now 168 remaining vulns
  9. [+] windows version identified as 'Windows 7 SP1 32-bit'
  10. [*]
  11. [M] MS14-012: Cumulative Security Update for Internet Explorer (2925418) - Critical
  12. [E] MS13-101: Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of
  13. Privilege (2880430) - Important
  14. [M] MS13-090: Cumulative Security Update of ActiveX Kill Bits (2900986) - Critical
  15. [M] MS13-080: Cumulative Security Update for Internet Explorer (2879017) - Critical
  16. [M] MS13-069: Cumulative Security Update for Internet Explorer (2870699) - Critical
  17. [M] MS13-059: Cumulative Security Update for Internet Explorer (2862772) - Critical
  18. [M] MS13-055: Cumulative Security Update for Internet Explorer (2846071) - Critical
  19. [M] MS13-053: Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code
  20. Execution (2850851) - Critical
  21. [M] MS13-009: Cumulative Security Update for Internet Explorer (2792100) - Critical
  22. [M] MS13-005: Vulnerability in Windows Kernel-Mode Driver Could Allow Elevation of
  23. Privilege (2778930) - Important
  24. [*] done

没有修补程序数据,可以使用操作系统可能的漏洞

  1. $ ./windows-exploit-suggester.py --database 2018-06-11-mssb.xlsx --ostext 'windows
  2. server 2008 r2'
  3. [*] initiating...
  4. [*] database file detected as xls or xlsx based on extension
  5. [*] getting OS information from command line text
  6. [*] querying database file for potential vulnerabilities
  7. [*] comparing the 0 hotfix(es) against the 196 potential bulletins(s)
  8. [*] there are now 196 remaining vulns
  9. [+] windows version identified as 'Windows 2008 R2 64-bit'
  10. [*]
  11. [M] MS13-009: Cumulative Security Update for Internet Explorer (2792100) - Critical
  12. [M] MS13-005: Vulnerability in Windows Kernel-Mode Driver Could Allow Elevation of
  13. Privilege (2778930) - Important
  14. [E] MS11-011: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege
  15. (2393802) - Important
  16. [M] MS10-073: Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation
  17. of Privilege (981957) - Important
  18. [M] MS10-061: Vulnerability in Print Spooler Service Could Allow Remote Code Execution
  19. (2347290) - Critical
  20. [E] MS10-059: Vulnerabilities in the Tracing Feature for Services Could Allow Elevation
  21. of Privilege (982799) - Important
  22. [E] MS10-047: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege
  23. (981852) - Important
  24. [M] MS10-002: Cumulative Security Update for Internet Explorer (978207) - Critical
  25. [M] MS09-072: Cumulative Security Update for Internet Explorer (976325) - Critical

限制:

目前,如果'systeminfo'命令显示'文件1'作为修补程序的输出,它将无法确定哪些安装在目标上。如果发生这种情况,修补程序列表将需要从目标主机中检索并使用--hotfixes标志传入

它目前不会将Windows操作系统的“版本”分开,例如“平板电脑”或“媒体中心”或不同的体系结构,例如仅基于Itanium的

在假定在目标Windows操作系统上安装了EVERYTHING的情况下也出现假阳性。如果您收到'文件1'输出,请尝试执行'wmic qfe list full',并将其作为输入以及-hotfixes标志以及'systeminfo'一起提供。

工具下载

部分内容被隐藏
需登陆后可查看
CE安全网