Post-explotación
Ya estás adentro. Ahora la pregunta cambia: ¿qué hacés con ese acceso? Esta fase es la que separa a alguien que "entró una vez" de un pentest profesional que demuestra el impacto real de una brecha.
Qué es la post-explotación
La post-explotación agrupa todo lo que ocurre después de obtener acceso inicial a un sistema: entender dónde estás parado, mantener ese acceso en el tiempo, conseguir más privilegios de los que tenías al entrar, y moverte hacia otros sistemas de la misma red.
Si entraste a un edificio de oficinas colándote por una ventana del sótano, la post-explotación es lo que hacés después: ver en qué piso estás, buscar una llave maestra en algún cajón, encontrar los ascensores que llevan a pisos restringidos, y dejar una puerta trasera entreabierta para poder volver a entrar mañana sin repetir todo el proceso.
Reconocimiento interno: entender dónde estás parado
Apenas obtenés una sesión (por ejemplo, con Meterpreter del módulo anterior), lo primero es repetir, puertas adentro, algo parecido al reconocimiento inicial: ¿qué usuario sos?, ¿qué permisos tenés?, ¿qué otros dispositivos hay en esta red interna que antes no podías ver desde afuera? Un sistema comprometido casi nunca es el objetivo final — es un punto de apoyo para llegar a algo más valioso.
Escalada de privilegios
Muchas veces el acceso inicial es limitado — un usuario común, sin permisos de administrador. La escalada de privilegios es el proceso de subir de nivel dentro de ese mismo sistema: de usuario normal a administrador o root, aprovechando configuraciones débiles, servicios mal permisados, o vulnerabilidades específicas del sistema operativo.
Escalada vertical
Subir de nivel de permisos en la misma máquina: de usuario limitado a administrador/root.
Movimiento lateral
Usar el acceso ya obtenido para saltar a otros sistemas de la misma red interna.
Persistencia
Dejar una forma de volver a entrar sin repetir la explotación original.
Anti-forense
Minimizar el rastro dejado, para que sea más difícil de detectar y reconstruir después.
Movimiento lateral: de una máquina a la red entera
Rara vez el objetivo real de un atacante es la primera máquina comprometida — generalmente es un punto de entrada débil (una impresora de red, un servidor de pruebas olvidado) hacia sistemas más valiosos (bases de datos, servidores de dominio). El movimiento lateral usa credenciales encontradas en la primera máquina, o confianzas entre sistemas de la misma red, para saltar de un dispositivo a otro sin volver a empezar todo el proceso de reconocimiento y escaneo desde cero.
Persistencia: asegurar el regreso
Una vez que el acceso costó tanto esfuerzo, un atacante no quiere depender de que la vulnerabilidad original siga sin parchear mañana. La persistencia son mecanismos para poder volver a entrar más adelante: crear un usuario nuevo con permisos elevados, instalar una tarea programada que reabra el acceso, o dejar una puerta trasera (backdoor) escondida entre archivos legítimos.
Entender persistencia es fundamental para saber qué buscar como defensor (próximo camino), pero también es la técnica que más se presta a mal uso fuera de un entorno legal y autorizado. En cualquier pentest profesional, cada mecanismo de persistencia instalado se documenta y se elimina completamente al finalizar la prueba — nunca se deja nada activo.
La post-explotación es donde más se apoya el trabajo de un SOC maduro: un usuario nuevo creado a las 3 AM, una tarea programada desconocida, una cuenta de servicio conectándose a sistemas que nunca antes tocó — todo esto genera eventos que, correlacionados, cuentan la historia de un atacante moviéndose por la red. El módulo de Respuesta a incidentes del camino Blue Team se ocupa exactamente de interrumpir esta fase antes de que el daño sea mayor.
Con una sesión activa de Meterpreter contra tu Metasploitable (del módulo de Explotación), escribí sysinfo para ver detalles del sistema comprometido.
Probá getuid para ver con qué usuario y nivel de privilegios estás operando actualmente.
Escribí ps para listar los procesos corriendo en el sistema objetivo — así es como un atacante entiende qué software hay realmente instalado, más allá de lo que vio en el escaneo inicial.
Esto es solo para observar y entender: en tu laboratorio propio, no hay nada que "romper" mal, así que es el lugar ideal para explorar sin presión.
Ponete a prueba
1. ¿Qué es la escalada de privilegios?
2. ¿Qué es el movimiento lateral?
3. ¿Para qué sirve la persistencia en un ataque?