tags : migrazione meterpreter impersonification NT-Authority
La migrazione del processo in Meterpreter è un’operazione fondamentale quando si cerca di mantenere la stabilità della sessione e di ottenere privilegi più elevati. Vediamo perché è importante e come si collega al fatto di non poter accedere alla cartella config senza farlo.
Cos’è la Migrazione in Meterpreter?
La migrazione ti permette di spostare la tua sessione Meterpreter da un processo a un altro, tipicamente per ottenere maggiore stabilità o privilegi più elevati. Questo avviene per due motivi principali:
-
Elevare i Privilegi: Quando esegui una migrazione in un processo con privilegi di SYSTEM o NT AUTHORITY\SYSTEM, acquisisci i diritti di quel processo, consentendoti di fare cose che prima erano limitate al tuo livello di privilegi.
-
Stabilità della sessione: Se sei su un processo con privilegi di basso livello o non stabile, la sessione Meterpreter potrebbe interrompersi o essere terminata se quel processo si chiude. Migrare in un processo di sistema (come
svchost.exeoservices.exe) aumenta le probabilità che la sessione rimanga attiva e stabile per molto tempo.
Perché la Migrazione è Importante nel Caso di NT AUTHORITY\SYSTEM?
Quando esegui impersonation di un token come NT AUTHORITY\SYSTEM, ottieni temporaneamente quei privilegi solo nel contesto del processo corrente. Se il processo in cui stai lavorando non ha i permessi necessari per accedere a una risorsa (come la cartella config), anche se hai impersonato un utente con privilegi elevati, potresti essere ancora limitato dal contesto del processo.
Per esempio, se hai avviato Meterpreter tramite un processo con privilegi di utente limitati (es. alfred\bruce) e hai solo impersonificato NT AUTHORITY\SYSTEM senza migrare:
-
Il processo originale (es.
powershell.exe) potrebbe ancora non avere i privilegi per accedere a certe cartelle o risorse di sistema (come C:\Windows\System32\config), anche se l’utente impersonificato teoricamente li ha. -
Alcune operazioni richiedono diritti espliciti del processo stesso, non solo quelli dell’utente che stai impersonando. Quindi, anche con NT AUTHORITY\SYSTEM, il processo in cui ti trovi potrebbe avere ancora restrizioni.
Esempio con la cartella config:
-
La cartella
C:\Windows\System32\configcontiene file di sistema sensibili come il SAM e il SYSTEM registry hive, accessibili solo da processi con diritti di sistema (es. SYSTEM o NT AUTHORITY\SYSTEM). -
Se non avessi fatto la migrazione in un processo con privilegi di sistema come
svchost.exeoservices.exe, il processo corrente (powershell.exe, che era in esecuzione come utente normale) non avrebbe avuto accesso a quella cartella, nonostante l’impersonazione di NT AUTHORITY\SYSTEM.
Perché la Migrazione risolve il problema?
La migrazione ti permette di spostarti in un processo che ha già privilegi elevati e, quindi, erediti quei privilegi. Se migri a un processo come svchost.exe o services.exe, che sono eseguiti con NT AUTHORITY\SYSTEM, sarai in grado di:
- Eseguire operazioni come leggere il contenuto della cartella
config. - Accedere a risorse di sistema protette come i registry hives o i file del SAM.
Se non avessi fatto la migrazione?
- Il processo originario (in cui stavi eseguendo Meterpreter) non avrebbe avuto i privilegi necessari per accedere a certe aree del sistema, come
C:\Windows\System32\config. - Anche con NT AUTHORITY\SYSTEM, potresti non essere in grado di accedere a quelle risorse se il processo corrente ha limitazioni nei permessi.