Windows Exploit Suggester

Windows Exploit Suggester 可以確認 Windows 系統上是否有尚未安裝/更新 patch(修補程式，透過指令 systeminfo 確認目標的版本以及目前已經安裝的修補程式，還可以對應最新版本的微軟漏洞，攻擊者使用該工具，可以對照出尚未更新的漏洞以標籤 E(代表有公開的 exploit) 和標間 M(代表 Metasploit 的模組)。

step:1 安裝 Windows Exploit Suggester
git clone https://github.com/GDSSecurity/Windows-Exploit-Suggester.git

step2: 更新套件庫和安裝 python-xlrd 利用 Python 解析最新版本的微軟資料庫資料，該資料庫資料以 excel 呈現。

apt-get update
apt-get install python-xlrd

STEP3: 更新資料庫
python windows-exploit-suggester.py --update

STEP4: 在目標系統的執行指令，儲存在於 sysinfo.txt
meterpreter > systeminfo

複製內容儲存於 sysinfo.txt

STEP5: 執行指令
python windows-exploit-suggester.py --systeminfo sysinfo.txt

如果要過濾本地漏洞可以加上 --local：
python windows-exploit-suggester.py --systeminfo sysinfo.txt --local

如果要過濾遠端漏洞可以加上 --remote：
python windows-exploit-suggester.py --systeminfo sysinfo.txt --remote

可能會有誤報，因此要注意。

如果沒有辦法查看指令 systeminfo 提到的修補程式內容，可以使用 wmic 輔助：
meterpreter > wmic qfe list full

複製內容儲存於 hotfixes.txt

執行指令
python windows-exploit-suggester.py --systeminfo sysinfo.txt --hotfixes hotfixes.txt

注意

2017 年 3 月微軟停止維護安全公告，因此 Windows Exploit Suggester 預測沒有內容，但可以透過自己去維護一個漏洞資料庫，可查詢 security-guidance 進行維護。

參考文章

• https://github.com/GDSSecurity/Windows-Exploit-Suggester
• https://portal.msrc.microsoft.com/en-us/security-guidance
• https://portal.msrc.microsoft.com/en-us/security-guides
• https://github.com/Microsoft/MSRC-Microsoft-Security-Updates-API