Wiki

1º Normalmente siempre es conveniente saber cual es la ip

• Con nslookup o host si el host no está en la red local y sólo sabemos el dominio, útil para saber en qué ubicación se encuentra, sin poner el protocolo http o https, ojo
  • nslookup dominio.com
  • host dominio.com

• Si está en la red local con:
  • nmap 192.168.0.1/24 (32 bits-24 → 8, 2^8 → 256)
  • nmap 192.168.0.1-255

2º Conocer los parámetros básicos y más utilizados de nmap

• -Pn No usar ping para detectar hosts activos, porque muchos servidores lo tienen deshabilitado, no responden, nmap no continúa con el escaner e interpreta que el host no está activo
  
• -n No realizar resolución dns para ahorrar tiempo (se puede resolver previamente con nslookup o host)
  
• -sS escaneo rápido TCP SYN Scan para saber cuales están abiertos, requiere root, es el predeterminado, sigiloso, poco molesto y efectivo porque no completa la conexión TCP. Envía SYN y si recibe SYN/ACK interpreta que está abierto
  
• -sV Detecta solo versiones, si se quiere que además detecte SO usar en vez de -sV --A
  
• -p- Escaneo de todos los puertos (0 a 65 mil y pico)
  
• -p1-3500 Escaneo de un rango de puertos
  
• -p22,80,443,8080 Escaneo de unos puertos concretos
  
• --min-rate 6000 (6000 paquetes mínimo por segundo o los que quieras, según la velocidad de tu conexión, lógico para servidores virtualizados de prueba pero no para hacerlo con reales porque aumenta la detección, en reales se usa como máximo la opción T5 que envía unos 1000 a 2000 paquetes como máximo, y ya es muy intrusivo, normalmente se envían 200)
  
• --script "vuln", --script "vuln and not intrusive" o --script "all",etc, ver todas las posibilidades, all, vuln and not auth, etc

3º Hacer un escaneo básico

• A una máquina virtual de pruebas en la red local (escaneo rápido)
  • sudo nmap -Pn -sS -n -p- -sV --min-rate 6000 192.168.0.227
• A un servidor cualquiera fuera de la red local
  • sudo nmap -Pn -sS -n -p- -sV -T4 ip_servidor

Fijarse cómo varía la velocidad del escaner si cambias parámetros, al terminar hay una línea que pone
Host is up (0.00068s latency)

4º Una vez descubiertos los puertos abiertos hacer un escaner completo o de vulnerabilidades a esos puertos

• sudo nmap -Pn -p22,80 --script vuln 192.168.0.227
• sudo nmap -Pn -p22,80 --script "all and not broadcast" 192.168.0.227

5º Buscar si hay vulnerabilidades para las versiones detectadas de los servicios open del escaner anterior

• Ejemplos
  • searchsploit apache | grep -E '2\.4.*'
  • searchsploit ssh | grep -E '9\.2.*'

6º Ver si revela alguna información el encabezado http

• curl -I http://192.168.0.227
• curl -I http://dominio.com

7º Fuerza bruta y pistas

• Descargar, conocer seclists, un conjunto de diccionarios de fuerza bruta para poder hacer fuzzing
  • gitclone https://github.com/danielmiessler/SecLists.git
• Obtener palabras del servidor web que tal vez puedan darnos pistas
  • cewl http://192.168.0.227 -w lista_palabras.txt
  • cewl http://dominio.com -w lista_palabras.txt

8º Probar a hacer fuzzing a ver si hay algún panel de login o algo útil, ejemplos:

• ffuf -u http://ip/FUZZ -w directory-list-2.3-medium.txt -ac -fw 60000-90894
• ffuf -u http://ip/admin/FUZZ -w directory-list-2.3-medium.txt -ac -fw 60000-90894

…..continuará. Feliz hacking