Guida Approfondita: Windows Post Exploitation con Metasploit
Durante un'attività di post-exploitation su sistemi Windows, Metasploit Framework mette a disposizione una vasta gamma di moduli specifici che permettono di raccogliere informazioni critiche, stabiliz
Guida Approfondita: Windows Post Exploitation con Metasploit
Introduzione
Durante un'attività di post-exploitation su sistemi Windows, Metasploit Framework mette a disposizione una vasta gamma di moduli specifici che permettono di raccogliere informazioni critiche, stabilizzare la sessione, e facilitare ulteriori movimenti laterali o escalation di privilegi. Questa guida fornisce un approfondimento sui principali moduli post/windows disponibili in MSF, arricchita con ulteriori tecniche operative.
Obiettivi Principali del Post-Exploitation
- Enumerazione delle informazioni di sistema
- Verifica del contesto operativo (VM, AV, patch)
- Scoperta di rete e shares
- Preparazione per movimenti laterali o persistenza
Moduli Principali di Post-Exploitation
1. Migrazione Architettura Meterpreter
- Modulo:
post/windows/manage/archmigrate
- Descrizione: Forza la migrazione della sessione Meterpreter da 32 a 64 bit o viceversa. Utile in ambienti misti per mantenere compatibilità con moduli specifici dell'architettura.
2. Enumerazione Privilegi
- Modulo:
post/windows/gather/win_privs
- Equivalente:
getprivsda Meterpreter.
- Funzione: Restituisce l'elenco dei privilegi assegnati al token corrente (es. SeDebugPrivilege, SeImpersonatePrivilege).
3. Utenti Loggati
- Modulo:
post/windows/gather/enum_logged_on_users
- Funzione: Enumera utenti attualmente connessi o che si sono connessi recentemente. Utile per analizzare l'attività degli utenti e identificare account privilegiati.
4. Verifica Virtual Machine
- Modulo:
post/windows/gather/checkvm
- Funzione: Determina se il sistema è in esecuzione in un ambiente virtuale (VMware, VirtualBox, Hyper-V).
5. Programmi Installati
- Modulo:
post/windows/gather/enum_applications
- Funzione: Elenca le applicazioni installate e le rispettive versioni. Cruciale per identificare software vulnerabili.
6. Esclusioni Antivirus
- Modulo:
post/windows/gather/enum_av_excluded
- Funzione: Rileva eventuali esclusioni configurate nell'antivirus locale (cartelle, file, estensioni). Un punto debole spesso trascurato.
7. Rilevamento Dominio e Host
- Modulo:
post/windows/gather/enum_computers
- Funzione: Enumera i computer appartenenti allo stesso dominio. Utile per pianificare movimenti laterali.
8. Shares di Rete
- Modulo:
post/windows/gather/enum_shares
- Funzione:
9. Abilitare RDP
- Modulo:
post/windows/gather/enable_rdp
- Funzione: Verifica se RDP è abilitato e, se non lo è, lo abilita. Può essere usato in fase di persistenza o come alternativa per l'accesso remoto.
Best Practice & Tecniche Avanzate
- Migrazione Strategica: dopo aver ottenuto una shell stabile, usa
psemigrateper spostarti su un processo di sistema con privilegi elevati (es.svchost.exe).
- Token Impersonation: cerca di ottenere e impersonare token di altri utenti (
steal_token), specialmente admin o SYSTEM.
- UAC Bypass Post-Exploitation: se l'utente è admin ma non sei SYSTEM, valuta tecniche di bypass UAC (es. con
exploit/windows/local/bypassuac_fodhelper).
- Persistence Module: considera l'uso di moduli come
windows/manage/persistenceper creare una backdoor.
Conclusione
I moduli post/windows di Metasploit rappresentano una vera e propria "cassetta degli attrezzi" durante la fase post-exploitation. Una corretta pianificazione e utilizzo mirato di questi strumenti consente di ottenere informazioni fondamentali, stabilizzare l'accesso, ed espandere il controllo all'interno della rete bersaglio.
Ricorda sempre di mantenere un comportamento OPSEC-friendly per non essere rilevato durante queste operazioni.
Se desideri, posso esportare questa guida in formato Markdown o HTML per integrarla nei tuoi appunti su Obsidian o nel blog GitBook.