Tutorials

🕵️‍♂️ Enumerating Processes & Services - Windows

Guida completa per eJPT e attività di post-exploitation ---

#enumeration#exploitation#post-exploitation#windows

🕵️‍♂️ Enumerating Processes & Services - Windows

_Guida completa per eJPT e attività di post-exploitation_

🎯 Obiettivo

✅ Identificare processi e servizi in esecuzione sul sistema target. ✅ Scoprire punti deboli per migrazione, privilege escalation e persistence. ✅ Individuare processi e servizi vulnerabili o privilegiati (es. SYSTEM).

🛠️ Tecniche e comandi principali

#### 🧑‍💻 Meterpreter

  • ps: elenca tutti i processi attivi sulla macchina target.
  • pgrep explorer.exe: trova il PID del processo explorer.exe. Utile per identificare l’utente connesso e migrare.
  • migrate : migra la sessione Meterpreter a un altro processo, tipicamente privilegiato o stabile (es. explorer.exe o svchost.exe).

🔍 Extra Meterpreter:

  • post/windows/manage/migrate: modulo Metasploit per automatizzare la migrazione.
  • post/windows/gather/enum_services: elenca i servizi con dettagli.
  • post/windows/gather/enum_autoruns: raccoglie informazioni su servizi e programmi in esecuzione automatica.

#### 🖥️ Windows Command Line

  • net start: mostra tutti i servizi attualmente avviati.
  • wmic service list brief: elenco completo e sintetico di tutti i servizi, con stato.
  • tasklist /SVC: mostra i processi in esecuzione e i relativi servizi associati.
  • schtasks /query /fo LIST: elenca i task pianificati (Scheduled Tasks), utili per scoprire persistence e attività automatizzate.

🔍 Extra Windows:

  • sc query: dettaglio completo dei servizi con stato (RUNNING/STOPPED).
  • sc qc : visualizza le configurazioni di un servizio specifico, inclusi binari e parametri.
  • tasklist /v: include informazioni aggiuntive come la finestra di esecuzione e l’utente associato.
  • powershell Get-Process: elenco processi dettagliato in PowerShell.
  • powershell Get-Service: servizi attivi e configurazioni.

🕵️‍♀️ Tecniche Avanzate e Best Practice

🔸 Individuare servizi vulnerabili: cerca quelli configurati per avviarsi come SYSTEM e con percorsi modificabili. 🔸 Attenzione ai processi sospetti: malware o persistence possono celarsi dietro nomi noti (es. svch0st.exe). 🔸 Monitoraggio continuo: usa script PowerShell per elencare e monitorare in tempo reale. 🔸 Mappatura prioritaria: focalizzati sui processi eseguiti con privilegi elevati o appartenenti ad account amministrativi. 🔸 Strumenti avanzati:

  • WinPEAS: per un’enumerazione completa di servizi e processi.
  • Sysinternals (PsExec, PsService, Process Explorer): per ottenere dettagli avanzati e interagire con i processi.
  • Autoruns: per identificare programmi e servizi configurati per l’avvio automatico.

🔥 Esempio di utilizzo pratico

1️⃣ Eseguire ps su Meterpreter per elencare i processi. 2️⃣ Identificare explorer.exe con pgrep explorer.exe. 3️⃣ Migrare a questo processo con migrate per stabilizzare la sessione. 4️⃣ Eseguire net start e sc query per identificare servizi critici. 5️⃣ Utilizzare schtasks /query per scoprire task pianificati sospetti.