Zafiyetleri tespit edilecek olan Windows 7 bilgisayarın sistem bilgisi Windows-Exploit-Suggester betiğine verilecektir. Bu betik de sistem bilgisine göre, mevcut bilgisayardaki zafiyetleri listeleyecektir. Zafiyet listesine göre de – eğer var ise – işletim sisteminde standart kullanıcı haklarından yerel yönetici haklarına erişim sağlanacaktır. Bu amaçla, Windows-Exploit-Suggester betiği Github bağlantısından indirilir.
git clone https://github.com/GDSSecurity/Windows-Exploit-Suggester.git
cd Windows-Exploit-Suggester
ls
Not: Benzer işleve sahip “Windows Exploit Suggester – Next Generation (WES-NG)” python beğiti “bitsadmin” Github hesabında da bulunmaktadır.
https://github.com/bitsadmin/wesng
İndirilen betik, Microsoft güncelleme merkezine bağlanarak en son yamaların listesine göre analiz işlemi gerçekleştirmektedir. Bu sebeple, en güncel sonuca ulaşmak için yama listesinin son hali elde edilmelidir.
python windows-exploit-suggester.py –update
ls
Güncel yama listesi Microsoft Excel formatında elde edilmektedir. Excel formatını okuyabilmek için, python-xlrd kütüphanesinin indirilmesi ve yüklenmesi gerekmektedir.
apt-cache search python-xlrd
apt-get install python-xlrd
Microsoft güncelleme merkezinden indirilen güncel listesi örneği aşağıdaki gibidir. Her bir yama ile ilgili önem derecesi, etkisi, etkilenen sistemler gibi bir takım bilgiler Excel dosyasında sıralanmıştır.
Uyarı: Windows-Exploit-Suggester betiği, bazı durumlarda*.xlsx uzantılı dosya ile çalıştırıldığında hata vermektedir. Bu sebeple, dosyanın *.xls uzantılı olarak kaydedilmesi gerekebilmektedir.
Windows-Exploit-Suggester betiği, yama listesi haricinde, güncelleme kontrolü yapacağı bilgisayara ait sistem bilgisine ihtiyaç duymaktadır. Sistem bilgisini elde edebilmek için, “systeminfo” komutu kullanılabilir. Bu komut, yerel yönetici haklarına sahip olmaya gerek duyulmadan, standart bir kullanıcı hakları ile de çalıştırılabilir.
systeminfo >> C:\systeminfo-ciktisi.txt
Sistem bilgisinden de görüldüğü gibi, bilgisayarın 64 bit mimaride Windows 7 SP1 olduğu görülmektedir. Ayrıca 2 adet hotfixi de bu sorgu ile elde edilmiştir.
Windows-Exploit-Suggester betiği yama listesi ve sistem bilgisi kullanılarak çalıştırıldığında; bilgisayarda hangi zafiyetlerin olduğu, zafiyetlerin istismarı için Metasploit modüllerinin mevcudiyeti ve Exploit-DB tarafından istismar kodlarının yayınlanıp yayınlanmadığı listelenmektedir.
python windows-exploit-suggester.py –database 2015-02-08-mssb.xls –systeminfo systeminfo-ciktisi.txt
Not: İstismar analizinin doğru sonuç vermesi için, Metasploit Framework güncel olmalı ve son modüller yüklü olmalıdır.
Örnek olarak, MS14-068 istismarı için Exploit-DB tarafından Proof-Of-Concept istismar kodunun yayınlandığı görülmektedir.
Kaynaklar:
https://blog.gdssecurity.com/labs/2014/7/11/introducing-windows-exploit-suggester.html