Wiki

1º Escanear puertos y servicios, saber cuales están open, conocer los parámetros de nmap

-Pn Deshabilitar ping porque muchos servidores lo tienen deshabilitado, no responden y nmap no continúa con el escaner
-n Para no realizar resolución dns y ahorrar tiempo (se puede hacer previamente con nslookup o host)
-sS escaneo rápido TCP SYN Scan para saber cuales están abiertos, requiere root, es el predeterminado, sigiloso, poco molesto y efectivo porque no completa la conexión TCP. Envía SYN y si recibe SYN/ACK interpreta que está abierto
-sV Detecta solo versiones, si se quiere que además detecte SO usar en vez de -sV --A
-p- Escaneo de todos los puertos (0 a 65 mil y pico)
--min-rate 6000 (6000 paquetes mínimo por segundo o los que quieras, según la velocidad de tu conexión, lógico para servidores virtualizados de prueba pero no para hacerlo con reales porque aumenta la detección, en reales se usa como máximo la opción T5 que envía unos 1000 a 2000 paquetes como máximo, y ya es muy intrusivo, normalmente se envían 200)

Fíjate cómo varía la velocidad del escaner si cambias parámetros, al terminar hay una línea que pone

Host is up (0.00068s latency)

2º Buscar si hay vulnerabilidades para las versiones detectadas de los servicios open del escaner anterior

• Ejemplos
  • searchsploit apache | grep -E '2\.4.*'
  • searchsploit ssh | grep -E '9\.2.*'

3º Probar a hacer fuzzing a ver si hay algún panel de login o algo útil

ffuf -u http://ip/FUZZ -w directory-list-2.3-medium.txt -ac -fw 60000-90894