3 способа поиска отсутствующих патчей в Windows
Ни в одной операционной системе нет такого большого количества уязвимостей как в Windows, и для исправления проблем зачастую приходится выпускать патчи в спешке
3 способа поиска отсутствующих патчей в Windows
Ни в одной операционной системе нет такого большого количества уязвимостей как в Windows, и для исправления проблем зачастую приходится выпускать патчи в спешке. С точки зрения атакующего понимание, какие патчи присутствуют системе, может стать решающим фактором успеха при эксплуатации брешей и проникновении в систему. В этой статье мы рассмотрим три метода для поиска патчей, установленных в системе: Metasploit, WMIC и Windows Exploit Suggester.
В Metasploit будет использоваться пост-модуль для поиска отсутствующих патчей. В случае с WMIC будут запускаться команды напрямую в шелле системы для просмотра патчей. При помощи Windows Exploit Suggester мы будем сравнивать патчи, установленные в системе, с базой данных уязвимостей. В качестве атакующей системы будет использоваться Kali Linux, атакуемой – непропатченная версия Windows 7.
В терминале запускаем команду msfconsole.
Для запуска пост-модуля нам нужно скомпрометировать целевую систему и получить meterpreter-сессию. Поскольку мы имеем дело с непропатченной версией Windows 7, то можем выполнить быструю эксплуатацию при помощи EternalBlue.
Загружаем соответствующий модуль при помощи команды use:
Настраиваем нужные опции и выполняем команду run для запуска эксплоита:
У нас появилась meterpreter-сессия в целевой системе. Поскольку пост-модули работают в текущей сессии в фоновом режиме, нам нужно перевести сессию в этот режим.
Теперь загружаем модуль при помощи команды use:
Если ввести команду options, Metasploit покажет все доступные настройки для текущего модуля:
Все, что нам нужно — установить номер сессии. При необходимости можно через запятую указать перечень дополнительных патчей для поиска. Однако сейчас подойдет стандартный набор.
При помощи команды set устанавливаем номер сессии, которая находится в фоновом режиме:
Теперь вводим команду run для запуска модуля:
После отработки модуля видно, что первые два патча не установлены. Кроме того, отображены некоторые дополнительные потенциальные уязвимости и связанные патчи.
WMIC (Windows Management Instrumentation Command-Line) представляет собой утилиту для выполнения WMI-операций в ОС Windows. В некотором смысле этот инструмент является командной оболочкой и может работать в интерактивном и неинтерактивном режиме.
Вначале нам нужен шелл в целевой системе. Используя ранее полученную meterpreter-сессию, подключаемся к системному шеллу.
Запускаем команду sessions с флагом –i для взаимодействия с сессией:
В появившемся приглашении Meterpreter вводим команду shell и попадаем в системный шелл:
Теперь мы можем воспользоваться утилитой WMIC для просмотра установленных патчей. Вводим команду wmic qfe list и получаем список QFE-патчей (quick fix engineering), присутствующих в системе:
По каждом патчу выводится ID, описание, информация об установке и URL. Мы также можем добавить к нашей команде слово full для получения сведений в немного другом формате:
Этот метод очень удобен, поскольку не требует ничего, кроме базового шелла в целевой системе для запуска WMIC.
Последний инструмент в нашем обзоре — Windows Exploit Suggester. Эта утилита, написанная на Python, сравнивает патчи, установленные в целевой системе с базой данных уязвимостей компании Microsoft. Все операции выполняются на нашей локальной машине.
Windows Exploit Suggester требует результатов отработки команды systeminfo в целевой системе для последующего сравнения с базой данных. Поскольку у нас все еще есть шелл, запускаем следующую команду:
Сохраняем полученные результаты в текстовый файл на локальной машине:
Теперь при помощи утилиты wget загружаем скрипт с GitHub:
Устанавливаем все необходимые зависимости (в нашем случае пакет python—xlrd).
Когда все необходимое установленное, нужно сгенерировать базу данные бюллетеней безопасности от Microsoft. Windows Exploit Suggester выполняет эту операцию автоматически, если указать аргумент update:
Теперь запускаем утилиту с указанием файлов с информацией от systeminfo и только что сгенерированной базой:
Скрипт возвратит патчи, которые не установленные в целевой системе, вместе с релевантной информацией и ссылками:
Вероятно, этот метод позволяет получить наиболее достоверную информацию, поскольку при сравнении мы используем обновленную базу данных. Кроме того, здесь возможен удаленный запуск.
В этом руководстве мы рассмотрели несколько методов для получения информации о неустановленных патчей на машине с ОС Windows. Вначале мы использовали пост-модуль в Metasploit, потом утилиту WMIC и в конце скрипт Windows Exploit Suggester, написанный на Python. Получение списка патчей чрезвычайно полезно во время атаки, поскольку мы сразу же сужаем количество потенциальных эксплоитов, экономим время и в итоге сильно упрощаем себе жизнь.
Windows Update Agents Vs WMIC QFE GET [closed]
I am exploring the reliability of the following two ways to get the Windows Patch Information.
- Using Windows Update Agent — IUpdateSearcher Interface with COM.
- Using WMIC QFE GET (Either through client or WMI Interfaces with COM)
Below are the queries I have for the above two methods
Using Windows Update Agent — IUpdateSearcher Interface with COM.
- Does IUpdateSearcher navigates through the following registry and provides the information?
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing - Are there any other registry paths IUpdateSearcher looks for to give Update information?
- Does IUpdateSearcher give a super set of what WMIC QFE gives?
Using WMIC QFE GET (Either through client or WMI Interfaces with COM)
- Does WMIC QFE search the following registry path and provides the information? HKEY_LOCAL_MACHINE\Software\Microsoft\Updates (OR) HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Updates
- Are there any other registry paths WMIC QFE GET looks for to give Update information?
Also, Of the above two ways,
- Which method is the best way to get the Update Information without data loss?
- Which method performs faster?
Could someone provide answers for all my queries?
What are GDR, LDR and QFE Updates?
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Similar Content
Hi, since around 1.5 half years i am integrating Updates into our Windows Image at our Company. However i have noticed that even when all the latest Updates are integrated after installing the OS it shows a few «.NET Framework» Updates that couldn’t be integrated (see Attachment). A year ago it were only around 10, now around 15. So its getting more and more, it hinders the usfulness of the Slipstreaming process a bit.
Did anyone of you find a way to integrate this pesky «.NET» Updates into the Image?
Thanks for the help.
I want to integrate last upadates into Windows 7 SP1-U ISO and I have two doubts:
1. Does KB3172605 (July 2016 update rollup) replace KB3156417 (May 2016 update rollup)?
2. Integrate KB3170455 (update for Windows Print Spooler)? Supposedly it stops non-admin users from installing a network-printer :/
What set of updates is the best to integrate (KB in exact order):
KB3020369 kb3125574-v4 KB3168965 KB3172605
KB3020369 kb3125574-v4 KB3156417 KB3168965 KB3172605
KB3020369 kb3125574-v4 KB3156417 KB3168965 KB3170455 KB3172605
?
KB short descritpion:
KB3020369 April 2015 servicing stack update for Windows 7 and Windows Server 2008 R2
KB3125574 Convenience rollup update for Windows 7 SP1 and Windows Server 2008 R2 SP1
KB3156417 May 17 2016 update rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1
KB3168965 July 12 2016 Security Update for Windows Kernel-Mode Drivers
KB3170455 July 12 2016 Security Update for Windows Print Spooler Components
KB3172605 July 21 2016 update rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1
I have a Problem with the Updates i would like to intergrate some updates in my install.win but the Problem ist, that if i would like to intergrate the updates the mark are yellow and not green. On the state the say me install pending. If i install a Windows machine with the iso the updates are not installed but why ?
Its a Windows 7 ISO.
If i would like to intergrate the Updates with the Updates installer, and i add all updates that i would intergrate to my install.wim file it says Not compatible with 10240 : «and the source to my update»
What did i make not correctly ?
Best regards PsycH0Ooo
Good evening everyone!
I’ve been using WinToolkit since a lot of years to integrate updates in Windows Installations. Recently I redid my Win7 x64 Installation. I removed the ei.cfg and integrated all major «General» «Security» and «Hotfix» Updates. After integrating I created an ISO and started it in a virtual Machine. But upon booting it only says
CDBOOT: COULDN´T FIND BOOTMGR
I don’t know what the problem is, especially since my x86 Version started without any issues and in the past there was nothing comparable. Can you tell me what might have went wrong and how I can fix this?
Thank you for all suggestions in advance and have a nice day!
Host OS: Windows 7 Ultimate x64
Image OS: Windows 7 x64
Windows ADK for 8.1 installed: Yes (I used this link http://www.microsoft.com/en-us/download/confirmation.aspx?id=39982)
In WinToolkit v1.5.3.12, when I add the kb2603229, kb3035126, kb3035132 they show up and the program says they are integrated.
But when I test the image, Windows updates says they are not integrated.
They are integrated when I use the dism command in cmd.
