MSF İçinde Windows Güncelleme Keşfi

MSF İçinde Windows Güncelleme Keşfi

Metasploit Framework içerisinden bir Windows işletim sistemine Meterpreter shell açtığınızda, işletim sisteminin hangi güncellemeleri ve yamaları yaptığını, hangilerini yapmadığını keşfetmek isteyebilirsiniz.

Bunun için kullanılan post/windows/gather/enum_patches modülünün kullanımına ait bir örneği aşağıda bulabilirsiniz. Modül, isminden de anlaşılacağı gibi bir post exploitation  modülüdür ve öncelikle hedef bilgisayarda bir meterpreter açık olmalıdır.

Aşağıdaki çıktıda, use komutu ile modül yüklenmiş ve seçenekleri görüntülenmiştir.

msf exploit***(*** handler***)***  ***>***  use post/windows/gather/enum_patches
msf post***(*** enum_patches***)***  ***>***  show options

Module options ***(*** post/windows/gather/enum_patches***)*** :

   Name       Current Setting       Required  Description
   ----       ---------------       --------  -----------
   KB         KB2871997, KB2928120  yes       A comma separated list of KB patches to search ***for
   *** MSFLOCALS  true                  yes       Search ***for *** missing patchs ***for *** which there is a MSF local module
   SESSION                          yes       The session to run this module on.

Modül hakkında detaylı bilgileri show advanced komutuyla inceleyebilirsiniz.

msf post***(*** enum_patches***)***  ***>***  show advanced

Module advanced options ***(*** post/windows/gather/enum_patches***)*** :

   Name           : VERBOSE
   Current Setting: true
   Description    : Enable detailed status messages

   Name           : WORKSPACE
   Current Setting: 
   Description    : Specify the workspace ***for *** this module

Bir exploit kullanarak Windows işletim sistemin Meterpreter shell açtıktan sonra oturumu arka plana gönderin ve use komutuyla enum_patches modülünü yükleyin. Aşağıdaki show options komutundaki çıktıda bulunan SESSION değişkeni, arka plana gönderdiğimiz meterpreter shell in oturum numarası olmalıdır. Arka plandaki oturumları sessions -l komutu ile görebilirsiniz. Gerekli kontrolleri yaptıktan sonra run komutunu verdiğinizde Windows bilgisayarın hangi güncellemeleri yapıp yapmadığını görebilirsiniz.

msf post***(*** enum_patches***)***  ***>***  show options

Module options ***(*** post/windows/gather/enum_patches***)*** :

   Name       Current Setting       Required  Description
   ----       ---------------       --------  -----------
   KB         KB2871997, KB2928120  yes       A comma separated list of KB patches to search ***for
   *** MSFLOCALS  true                  yes       Search ***for *** missing patchs ***for *** which there is a MSF local module
   SESSION    1                     yes       The session to run this module on.

msf post***(*** enum_patches***)***  ***>***  run

***[*** ******* ***]***  KB2871997 applied
***[*** +] KB2928120 is missing
***[*** +] KB977165 - Possibly vulnerable to MS10-015 kitrap0d ***if *** Windows 2K SP4 - Windows 7 ***(*** x86***)*** 
***[*** ******* ***]***  KB2305420 applied
***[*** +] KB2592799 - Possibly vulnerable to MS11-080 afdjoinleaf ***if *** XP SP2/SP3 Win 2k3 SP2
***[*** +] KB2778930 - Possibly vulnerable to MS13-005 hwnd_broadcast, elevates from Low to Medium integrity
***[*** +] KB2850851 - Possibly vulnerable to MS13-053 schlamperei ***if *** x86 Win7 SP0/SP1
***[*** +] KB2870008 - Possibly vulnerable to MS13-081 track_popup_menu ***if *** x86 Windows 7 SP0/SP1
***[*** ******* ***]***  Post module execution completed

Yukarıda görüldüğü gibi başında [+] işareti bulunan güncellemelerin sistemde yapılmadığı rapor edilmektedir.

Last updated on