Tutorials

Meterpreter - Migrazione verso explorer.exe

La migrazione della sessione Meterpreter a un processo explorer.exe viene effettuata per migliorare la stabilità, aumentare il livello di accesso, e ridurre le probabilità di rilevamento. ---

#exploitation#post-exploitation#windows#privesc

Meterpreter - Migrazione verso explorer.exe

🎯 Obiettivo

La migrazione della sessione Meterpreter a un processo explorer.exe viene effettuata per migliorare la stabilità, aumentare il livello di accesso, e ridurre le probabilità di rilevamento.

🧪 Perché migrare a explorer.exe?

1. ✅ Stabilità della sessione

  • Il processo iniziale sfruttato (es. un servizio vulnerabile) potrebbe essere temporaneo o soggetto a crash.
  • Migrando verso explorer.exe, che è stabile e rimane in esecuzione finché l’utente è loggato, assicuri persistenza alla tua sessione Meterpreter.

2. 🧑‍💻 Contesto utente

  • explorer.exe gira con i privilegi dell’utente interattivo.
  • Questo è utile per operazioni post-exploitation come:
- Impersonazione di token utente - Cattura input da tastiera (keylogging) - Screenshots - Esecuzione di payload con GUI - Esfiltrazione di dati specifici dell'utente

3. 🕵️‍♂️ Evasione & stealth

  • explorer.exe è un processo di sistema legittimo, sempre in esecuzione.
  • Operare da questo contesto rende la sessione meno sospetta per gli strumenti di monitoraggio (EDR, Task Manager, Sysmon, ecc.).

🔧 Procedura

Trovare il processo explorer.exe

bash
ps | grep explorer

Migrare al PID desiderato

bash
migrate <PID>

Esempio:

bash
migrate 1468

📌 Note operative

  • Migrare a explorer.exe non aumenta i privilegi, ma può semplificare l’elevazione.
  • Utile anche per eseguire tecniche come Potato Attack e Access Token Impersonation che richiedono contesto utente.
  • Se non è possibile migrare, considera altri processi dell’utente loggato con privilegi utili (winlogon.exe, taskhostw.exe, ecc.).