MSI Search 开源项目教程
msi-search项目地址:https://gitcode.com/gh_mirrors/ms/msi-search
项目介绍
MSI Search 是一个开源工具,旨在帮助红队操作员和安全团队简化在 Windows 系统中查找和管理 MSI 文件的任务。Windows 系统中的 MSI 文件存储在 C:\Windows\Installer\
目录下,这些文件名通常是随机生成的字母和数字组合。MSI Search 工具能够帮助用户识别这些 MSI 文件对应的软件,并下载相关文件以调查本地权限提升漏洞,特别是通过 MSI 修复功能。
项目快速启动
环境准备
确保你已经安装了以下工具:
- GCC 编译器(支持 x86 和 x64 架构)
- PowerShell(用于运行脚本)
编译项目
-
克隆项目仓库:
git clone https://github.com/mandiant/msi-search.git cd msi-search
-
编译 C 代码:
x86_64-w64-mingw32-gcc -c msi_search.c -o msi_search_x64.o i686-w64-mingw32-gcc -c msi_search.c -o msi_search_x86.o
运行 PowerShell 脚本
- 打开 PowerShell 并导航到项目目录。
- 运行脚本:
.\msi_search.ps1
应用案例和最佳实践
应用案例
MSI Search 可以用于以下场景:
- 安全审计:检查系统中安装的软件及其潜在的安全漏洞。
- 权限提升:通过识别和利用 MSI 文件中的漏洞来提升本地权限。
最佳实践
- 定期扫描:定期使用 MSI Search 扫描系统中的 MSI 文件,以发现新的软件安装和潜在的安全风险。
- 结合其他工具:将 MSI Search 与其他安全工具(如漏洞扫描器)结合使用,以获得更全面的安全评估。
典型生态项目
结合 Cobalt Strike
MSI Search 可以与 Cobalt Strike 集成,通过 Aggressor 脚本来实现自动化操作。具体步骤如下:
- 导入 Aggressor 脚本:
import msi_search.cna
- 在 Cobalt Strike 中运行
msi_search
命令。
结合其他安全工具
MSI Search 可以与其他安全工具(如 Metasploit、Nmap)结合使用,以增强安全检测和响应能力。例如,可以使用 Nmap 扫描网络中的 Windows 主机,然后在这些主机上运行 MSI Search 进行深入的安全检查。
通过以上步骤和方法,你可以充分利用 MSI Search 工具来提升 Windows 系统的安全性和管理效率。