Saltar al contenido
Lección 7 de 8

Post-Explotación y Escalada de Privilegios

5 min read

Qué es la Post-Explotación

La post-explotación es la fase que sigue a ganar acceso inicial, y su objetivo es responder a una pregunta crítica: ¿qué tan lejos podría llegar un atacante desde aquí? Un acceso inicial con bajos privilegios puede parecer poco grave, pero si desde él se puede escalar a administrador, pivotar a otros sistemas o acceder a datos sensibles, el impacto real es mucho mayor. La post-explotación mide ese impacto.

Esta fase se realiza siempre dentro del scope y de forma responsable. El objetivo es demostrar el alcance potencial del compromiso, no causar daño ni mantener acceso indefinido. Cada acción se documenta y, cuando corresponde, se revierte. En este curso tratamos la post-explotación de forma conceptual: entender los principios es más valioso a largo plazo que memorizar comandos específicos.

Comprender la post-explotación también ayuda a defenderse. Saber cómo un atacante escalaría privilegios o se movería lateralmente permite al cliente diseñar defensas en profundidad que detengan al adversario incluso después de un compromiso inicial.

Reconocimiento Local

Tras obtener acceso a un sistema, el primer paso es entender dónde estás. El reconocimiento local consiste en identificar el usuario actual y sus privilegios, el sistema operativo y su versión, los procesos en ejecución, las conexiones de red, los usuarios del sistema y las tareas programadas. Este mapa interno revela tanto oportunidades de escalada como rutas hacia otros sistemas.

En Linux, esto implica revisar quién sos, a qué grupos pertenecés, qué binarios con permisos especiales existen y cómo está configurado el sistema. En Windows, se examinan privilegios de la cuenta, servicios, políticas y configuraciones. Herramientas de enumeración como LinPEAS y WinPEAS automatizan gran parte de este reconocimiento, señalando vectores potenciales de escalada de forma estructurada.

El reconocimiento local es la base de todo lo que sigue. Sin entender el contexto del sistema comprometido, cualquier intento de escalada o movimiento es a ciegas. Tomate el tiempo de mapear el entorno antes de actuar.

Escalada de Privilegios en Linux

La escalada de privilegios busca pasar de un usuario con permisos limitados a uno con control total, típicamente root. En Linux, los vectores comunes incluyen configuraciones incorrectas de sudo que permiten ejecutar comandos privilegiados, binarios con el bit SUID mal configurados, tareas cron que corren con privilegios elevados y son modificables, y versiones de kernel con vulnerabilidades conocidas.

El proyecto GTFOBins es un recurso clave: cataloga cómo binarios legítimos del sistema pueden abusarse para escalar privilegios cuando están mal configurados. Por ejemplo, ciertos editores o intérpretes, si pueden ejecutarse vía sudo, permiten obtener una shell privilegiada. Entender estos patrones ayuda tanto a explotarlos en un test como a recomendarlos como configuraciones a corregir.

La defensa contra la escalada en Linux pasa por el principio de mínimo privilegio: limitar sudo estrictamente, auditar binarios SUID, asegurar tareas cron y mantener el kernel parcheado. Como pentester, documentás el vector encontrado y recomendás la mitigación específica.

Escalada de Privilegios en Windows

En Windows, los vectores de escalada incluyen servicios con permisos débiles que permiten reemplazar su ejecutable, rutas de servicio sin comillas que pueden secuestrarse, privilegios de token mal asignados, credenciales almacenadas en texto plano o en el registro, y políticas de grupo mal configuradas. El ecosistema Windows tiene su propio conjunto de configuraciones incorrectas comunes.

Herramientas como WinPEAS y técnicas de enumeración manual identifican estos vectores. En entornos de dominio Active Directory, la escalada a menudo se combina con el movimiento lateral: comprometer una cuenta de servicio o abusar de delegaciones puede abrir camino hacia el controlador de dominio. BloodHound es una herramienta que mapea relaciones en Active Directory para visualizar rutas de ataque hacia privilegios altos.

Como en Linux, el conocimiento de estos vectores es bidireccional: te permite demostrar el riesgo en un engagement y, sobre todo, recomendar endurecer configuraciones, rotar credenciales y aplicar el principio de mínimo privilegio en todo el dominio.

Persistencia y Movimiento Lateral

La persistencia es la capacidad de mantener acceso a un sistema a lo largo del tiempo, incluso tras reinicios. En un engagement real, un atacante la buscaría; un pentester ético la demuestra de forma controlada y reversible, eliminando cualquier mecanismo al finalizar. El valor de demostrar persistencia es mostrar al cliente qué tan difícil sería desalojar a un intruso real.

El movimiento lateral es el desplazamiento desde un sistema comprometido hacia otros dentro de la red, expandiendo el alcance del compromiso. Suele apoyarse en credenciales reutilizadas, relaciones de confianza entre sistemas o servicios accesibles internamente que no lo estaban desde fuera. Conceptualmente, demuestra cómo un único punto de entrada puede comprometer toda una red mal segmentada.

Tanto la persistencia como el movimiento lateral se tratan aquí a nivel conceptual y siempre dentro del scope autorizado. El objetivo educativo es entender el riesgo para poder defenderse: segmentación de red, monitoreo de comportamiento anómalo, rotación de credenciales y detección de técnicas conocidas son las contramedidas que recomendarías.

Limpieza y Documentación

Una responsabilidad ineludible del pentester ético es dejar los sistemas como los encontró. Cualquier herramienta subida, cuenta creada, configuración modificada o mecanismo de persistencia instalado debe eliminarse al finalizar. Llevar un registro preciso de cada cambio realizado durante la post-explotación hace que la limpieza sea completa y verificable.

La documentación de esta fase es especialmente valiosa para el reporte: muestra al cliente la cadena completa de compromiso, desde el acceso inicial hasta el control total o el acceso a datos críticos. Esa narrativa de impacto — "con esta vulnerabilidad menor, un atacante podría llegar hasta aquí" — es a menudo lo que motiva a la organización a invertir en seguridad. Documentá con rigor y comunicá con claridad.