Curso de Escaneo Activo y Análisis

de Vulnerabilidades
IP Logger

Un ip logger es un servicio online que permite registrar datos de los usuarios que pulsan clic en un
determinado enlace propuesto por el investigador. Creando un link acortado que redirecciona al link
propuesto.
Nos muestra datos como la dirección IP, País, ISP, Sistema operativo, dependiendo de cual escojamos.
Antes de que el link sea abierto

Ahora se reporta información de la persona que abrió el enlace

Con la siguiente página podemos ir obteniendo datos más exactos, ejemplo estoy en Orizaba Veracruz,
y la primera página dijo que estábamos en Veracruz solamente y esta última menciona que estamos en
Xalapa.

.
Banner Grabbing

Consiste en hacer una solicitud a un servicio de internet que este corriendo atrás de un puerto en un
servidor.
• este banner que te responde al momento de hacer la solicitud te brinda información como que
tecnología esta detrás la versión.
Sirve para identificar vulnerabilidades en las versiones si es que ese servicio esta desactualizado.
Es el proceso/técnicas de obtener información (nombres y las versiones) de la infraestructura de una
organización (empresa por ejemplo) por medio de una solicitud a un servicio.
La herramienta que podemos emplear son por ejemplo: NETCAT
Comandos para obtener información del servicio http ejcutandose detras del puerto 80
• netcat dominio 80
GET / HTTP/1.1
• netcat dominio 80
GET /index.php HTTP/1.1

Enumeración de subdominios
Un subdominio es la parte previa a un dominio existe la posibilidad de que usemos otro subdominio
para configurar una aplicación en cada uno de estos subdominios.
Comando para obtener subdominios de un dominio
sublist3r -d dominio.com
Cada subdominio representa una aplicación distinta

Fingerprinting de aplicaciones web

Fingerprint = Huella dactilar, las membranas del dedo solo tienen detalle unico por lo que no se repiten
en ninguna persona.

El footprinting en un entorno digital, consiste en identificar a una máquina por medio de los
identificadores únicos y versiones de las tecnologías que se ejecutan para su funcionamiento. Por
ejemplo dirección ip, versión del servidor web, versión del lenguaje de programación del servidor, país,
etc.

Identificación de WAF

Un WAF (Web Application Firewall) es un sistema de defensa para sitios web, que sirve para bloquear
peticiones de tipo malicioso al website, si bien es posible encontrar algunas técnicas para burlar los waf
dependiendo de la tecnología y versión de este.
Ejemplo para encontrar waf con la herramienta wafw00f.
También es posible encontrar:
IDS : Intrusion Detection System.
IPS: Intrusion Prevention System.

Ping y Traceroute

La herramienta PING utiliza el protocolo ICMP el cual trabaja en la capa 3 del modelo OSI, Es decir la
capa de RED.
IPV4 utiliza ICMPv4 e IPV6 utiliza
ICMPv6.
Un PING es un comando (herramienta/utilidad) que envia una solicitud (REQUEST) al host destino y
el host le responde con un REPLY, Realiza mensajes ICMP:
El protocolo de mensajes de control de internet ICMP (Internet Control Message Protocol) es un
protocolo de la capa de red (Network Layer) que se utiliza principalmente para detectar errores en la
red. Cuando el cliente envía una solicitud es un mensaje ICMP Echo Request y cuando el host destino
responde lo hace con un ICMP Echo Reply.

TRACEROUTE es un comando (herramienta) que sirve para realizar un seguimiento a los paquetes
enviados a un host destino, mediante las rutas que estos siguen a través del protocolo IP.

Nslookup

nslookup permite obtener información de los nameservers de un dominio como por ejemplo su
dirección ip, los servidores de correo mx, etc.
Ejemplo:
nslookup
A: Cuando vemos el registro “A”, este hace referencia a la dirección IPv4 de un servidor web y es el
más típico de encontrarnos en los servidores DNS.
AAAA: Cuando vemos el registro “AAAA”, este hace referencia a la dirección IPv6 de un host. Es
igual que el registro “A”, pero refiriéndose a una dirección IPv6 y no IPv4.
CNAME: Cuando vemos el registro “CNAME”, este hace referencia a un alias de otro dominio. Es
decir, su función es hacer que un dominio sea un alias de otro dominio. Normalmente este tipo de
registros se utilizan para asociar nuevos subdominios con dominios ya existentes del registro A.
MX: Cuando vemos el registro “MX”, este hace referencia a una lista de servidor de intercambio de
correo que se debe utilizar para el dominio.
PTR: Cuando vemos el registro “PTR”, este hace referencia a un punto de terminación de red. Es decir,
que la sintaxis de DNS es la responsable del mapeo de una dirección IPv4 para el CNAME en el
alojamiento.
NS: Cuando vemos el registro “NS”, este hace referencia a que servidor de nombres es el autorizado
para el dominio.
SOA: Cuando vemos el registro “SOA”, este hace referencia al comienzo de autoridad. Este registro es
uno de los registros DNS más importantes porque guarda información esencial como la fecha de la
última actualización del dominio, otros cambios y actividades.
SRV: Cuando vemos el registro “SRV”, este hace referencia a un servicio. Es decir, se utiliza para la
definición de un servicio TCP en el que opere en el dominio.
TXT: Cuando vemos el registro “TXT”, este hace referencia a un texto. Es decir, permite que los
administradores inserten texto en el registro DNS. Esto se utiliza para dejar notas sobre información del
dominio.
SPF: Cuando vemos el registro “SPF”, este hace referencia a qué servidores están autorizados para
enviar correos electrónicos con nuestro dominio.
LOC: Cuando vemos el registro “LOC”, este hace referencia a la ubicación física del servidor. Es decir,
este tipo de registros se utilizan para indicar la latitud, longitud y altura sobre el nivel de mar de la
ubicación física del servidor.
MB: Cuando vemos el registro “MB”, este hace referencia al nombre del dominio de correo
electrónico. Actualmente este registro es experimental.
MG: Cuando vemos el registro “MG”, este hace referencia a los miembros de un grupo de correo
electrónico. Actualmente este registro es experimental.
MR: Cuando vemos el registro “MR”, este hace referencia al renombre de un dominio de correo
electrónico. Actualmente este registro es experimental.
NULL: Cuando vemos el registro “NULL”, este hace referencia a recurso nulo. Actualmente este
registro es experimental.
HINFO: Cuando vemos el registro “HINFO”, este hace referencia a los detalles sobre el hardware y el
software del host.
MINFO: Cuando vemos el registro “MINFO”, este hace referencia a la información sobre un buzón de
correo electrónico. Actualmente este registro es experimental.
RP: Cuando vemos el registro “RP”, este hace referencia a información sobre los encargados del
dominio.
ANY: Cuando vemos el tipo de consulta “ANY”, este hace referencia a toda la información de todos
los tipos que exista.
AFSDB: Cuando vemos el registro “AFDSB”, este está pensado especialmente para clientes AFS.
NAPTR: Cuando vemos el registro “NAPTR”, este hace referencia a una ampliación del registro A que
permite usar patrones de búsqueda.
KX: Cuando vemos el registro “KX”, este hace referencia a Key Exchanger y permite gestionar claves
criptográficas.
CERT: Cuando vemos el registro “CERT”, este registro guarda certificados.
DNAME: Cuando vemos el registro “DNAME”, este indica alias para dominios enteros.
OPT: Cuando vemos el registro “OPT”, este hace referencia a un pseudo registro del ámbito de los
mecanismos de extensión de DNS más conocido como EDNS.
APL: Cuando vemos el registro “APL”, este hace referencia a “Address Prefix List” y sirve para
enumerar rangos de direcciones en formato CIDR.
DS: Cuando vemos el registro “DS”, este hace referencia a “Delegation Signer” y sirve para identificar
zonas con firma DNSSEC.
SSHFP: Cuando vemos el registro “SSHFP”, este hace referencia a “SSH Public Key Fingerprint” y
muestra la huella digital para las claves SSH.
IPSECKEY: Cuando vemos el registro “IPSECKEY”, este contiene una clave para IPsec.
RRSIG: Cuando vemos el registro “RRSIG”, este alberga una firma digital para DNSSEC.
NSEC: Cuando vemos el registro “NSEC”, este interconecta zonas firmadas en DNSSEC.
DNSKEY DNS: Cuando vemos el registro “DNSKEYDNS”, este contiene una clave pública para
DNSSEC.
DHCID: Cuando vemos el registro “DHCID”, este enlaza nombres de dominio con clientes DHCP.
TLSA: Cuando vemos el registro “TLSA”, este registro establece un enlace conocido como TLSA con
un nombre de dominio.
SMIMEA: Cuando vemos el registro “SMIMEA”, este registro establece un enlace conocido como
S/MIME con un nombre de dominio.
CDS: Cuando vemos el registro “CDS”, este es una copia de un registro DS.
CDNSKEY: Cuando vemos el registro “CDNSKEY”, este es una copia de un registro DNSKEY.
OPENPGPKEY: Cuando vemos el registro “OPENPGKEY”, este muestra claves públicas.
TKEY: Cuando vemos el registro “TKEY”, este permite el intercambio de claves secretas.
TSIG: Cuando vemos el registro “TSIG”, este sirve para la autenticación.
URI: Cuando vemos el registro “URI”, este muestra la asignación de nombres de host a las URL.
CAA: Cuando vemos el registro “CAA”, este especifica las posibles autoridades de certificación (CA)
para un dominio.
Netdiscover

Nnetdiscover es una herramienta que permite encontrar dispositivos dentro de una red de forma
automática.

Fping es muy buena herramienta, pero hay algunas razones por las que recomiendo Netdiscover sobre
Fping.
.
• Fping basa su escaneo en el uso del protocolo ICMP. Para hacer un escaneo se utiliza un ICMP
echo request a cada uno de los dispositivos indicados, por lo tanto, es necesario esperar una
respuesta de cada dispositivo al que se le hace ping.
.
• El ping puede ser deshabilitado de una red fácilmente, lo cual haría que esta herramienta no
funcionase.
.
• ¿Por que Netdiscover es preferible sobre Nmap o Fping para el descubrimiento?
.
Netdiscover utiliza el protocolo ARP el cual trabaja en la capa 2 y 3 del model OSI (Sobre todo
en el 2), Utiliza solicitudes ARP enviados al broadcast con una pregunta: “¿Quien tiene esta
ip?”.
Who has 192.168.0.1? Tell 192.168.0.50

• Todos los dispositivo en la red reciben dicha trama y solo el dispositivo que cumple con la IP de
la pregunta responde. Por lo tanto se envía un trama al broacast por cada IP que se quiere
encontrar y cada dispositivo que cumple con dicha ip responde con un <ip> at <Mac Address>.
ejemplo:
192.168.0.1 at 00:00:00:00:00:00

La respuesta va dirigida para el dispositivo que se indica en la trama solicitud “Tell 192.168.0.50” es
decir, al dispositivo con esa IP.
.
Ventajas:
• Esta técnica es mas rápida que usando Ping o las distintas técnicas que ofrece Nmap
• Si la función de PING se deshabilita en la red, no pasa nada, ya que no utiliza el protocolo
ICMP para este escaneo
• Es mas sigiloso.
SSLscan

La importancia de saber que versiones de SSL soporta un sitio web, nos sirve para determinar si existe
alguna vulnerabilidad en el certificado, tanto aquellas que filtran información como HeartBleed como
también aquellas que dependen de la robustez del Certificado.

SSLscan
Recolección de inteligencia activa nos permite escanear certificados ssl y obtener información de los
mismos.
Un certificado SSL (Secure Sockets Layer) es un título digital que autentifica la identidad de un sitio
web y cifra con tecnología SSL la información que se envía al servidor.
Si no tiene un certificado SSL en su sitio web, los piratas informáticos pueden acceder a toda la
información confidencial de un sitio web. Esto puede provocar la filtración de datos personales de
nuestros clientes, incluidos los detalles de pago que pueden verse comprometidos.
Enum4Linux

Enum4Linux es una herramienta que permite obtener información del protocolo SMB en Windows o
Samba en Linux.

En tryhackme la habitación llamada “Network Services 2” en donde se puede explotar SMB con la
ubicación de un recurso compartido SMB usando smclient.
Obteniendo información del protocolo
Uno de los recursos compartidos y que más llama la atención es profiles, conociendo este dato
podemos usar smbclient
Sintaxis de smbclient:

smbclient//IP/SHARE

Ejemplo:

Y entramos sin proporcionar una contraseña. Una vez dentro nos aparecerá la información que
podemos usar para escalar privilegios
Por ejemplo, el archivo .txt nos puede dar información al igual que el .ssh

Análisis de dispositivos y puertos con Nmap

Podemos decir que un puerto puede estar en tres estados: Puerto filtrado: Un firewall (cortafuegos)
bloquea el acceso al puerto. Puerto cerrado: El puerto no está bloqueado pero no hay ninguna
aplicación escuchando en él. Puerto abierto: El puerto no está bloqueado y hay una aplicación
escuchando en él.

Filtrado: Nmap no puede determinar si el puerto se encuentra abierto porque un filtrado de paquetes
previene que sus sondas alcancen el puerto
no filtrado:Este estado indica que el puerto es accesible, pero que Nmap no puede determinar si se
encuentra abierto o cerrado

Algunas de las Flags comunes dentro de nmap:

> -sS 'Syn Scan'

> -sU 'UDP Scan'
> -O 'Detect OS'
> -sV 'Dectect service versions'
> -v 'verbosidad, se puede usar hasta 3 seguidos'
> -oA 'Formato principal de guardado de enumeracion'
> -oN 'guardar enumeracion en formato Normal'
> -n 'eliminas resolucion de DNS'
> -oG 'guardar consulta en formato grepable'
> -A 'Modo agresivo, genera ruido en red pero devuelve toda info'
> -T[1-5] 'control velocidad consulta 1 lenta, 5 muy intrusivo'
> -p 'escanero de un puerto especifico o rango de puertos'
> -p- 'analizar TODOS los puertos'
> --script 'uso de scripts de la libreria nmap'
> -sT 'TCP Connect Scan'
> -sN 'TCP Null Scan, no maneja banderas en paquete'
> -sF 'TCP FIN Scan'
> -sX 'TCP Xmas Scans, por la forma de arbol de navidad que tiene en el paquete'
> -sn 'barrido de ping, no escanea solo depende de respuesta ICMP o ARP '
> -Pn 'quitamos fase de Discovery, es decir pedimos que no haga ping'
> -iL 'Indicas uso de un archivo con ips para scanear'
> ```
Parámetros y opciones de escaneo

Nmap ofrece diversas opciones por medio de flags para realizar diferentes tipos de escaneo y obtener
información variada en cada uno de ellos, como por ejemplo puertos abiertos, protocolos de esos
puertos abiertos, servicios ejecutandose detras de ess puertos y versiónes de esos servicios, entre otras.

Ejemplo

-sV = nos ayuda a detectar versiones de los servicios

-O = identificación del sistema operativo
-v = Muestra en detalle que hace la herramienta
-T(1-4) = Modo sigiloso, mientras menor sea el número, más lento pero menos posibilidades hay de
que lo detecte un Firewall
-p = Selección de puertos específicos que quiero escanear
Puertos abiertos que se encontraron, protocolos disponibles, que servicios abren estos puertos.

Full TCP scan vs Stealth scan

El stealth scan se diferencia del full tcp scan en que para el escaneo de un host, no permite que se
complete el saludo de 3-way-handshake de una conexión normal tcp. Solo llega hasta la parte de syn-
ack y envía un rst (reset) en vez de un ack para el último paso. Este tipo de escaneo es mas silencioso
por ser mas rapido y utilizar menos paquetes que el full tcp scan.

- Full TCP scan

Completa la conexión 3-way-Handshake (Intrusivo), hace un análisis completo hasta llegar a su

conexión.
- Stealth scan

Realiza la conexión SYN y termina en ACK (Sigiloso, requiere privilegio), hace un análisis solo
utilizando TCP SYN

Fingerprinting con Nmap

Comando para detectar sistema operativo del servidor y servicios ejecutandose en un dominio
(Fingerprinting)
Escaneo Agresivo con Zenmap

Detalles de servidor

Análisis de Traceroute
Cuando enviamos algo pasa por varias rutas o servidores, aquí podemos ver que las ips, pertenecen a
quien nos provee de internet

No se pueden auditar todos los servidores que encontramos en la red, eso es ilegal.

Creación de perfiles de escaneo en Zenmap

Un “Idlescan”, como llegó a conocerse, permite un escaneo de puertos completamente invisible. Los
atacantes pueden realmente escanear una máquina sin necesidad de enviar ni un sólo paquete al host
destino desde su propia dirección! En lugar de ello, un ataque paralelo permite que el escaneo sea una
especie de rebote en una máquina inactiva (“zombie”) .
Los reportes de sistemas de detección de intrusión (IDS) indicarán a la máquina “zombie” como la
atacante. Además de ser extraordinariamente invisible, este tipo de escaneo permite mapear la
relaciones de confianza basadas en IP entre máquinas.

Esto es un propio perfil de escaneo

El escaneo de aplicaciones web desde Zenmap se puede hacer de la siguiente forma:

nmap -sT -6 - p 21,22,25,80,443,3306,8080, -T4 -A -Pn

Nmap Scripting Engine

Lista de scripts en su documentación oficial y cada uno tiene una descripción de lo que hace.

Ejecución de algunos de ellos, estos nos aportan mas información

GoBuster – Inteligencia Misceláneos

Códigos de status HTTP

Dir
este es el modo para enumerar los directorios del sitio web, los directorios con lo que va despues de la
diagonal al terminar el nombre del sitio.

Comando disponibles
Con el parámetro -k se puede deshabilitar que revise/valide el certificado

Dumpster Diving

Esta tecnica consiste en recolectar la basura de una persona o una organización

Es importante deshacerse correctamente de la basura informática.

La siguiente imagen nos indica que tamaño debe tener la basura para saber que no hay manera de que
se pueda rearmar, todo depende de la importancia del documento.
Ingeniería social

Es una técnica que abusa de las habilidades sociales de una persona para ganarte su confianza y obtener
información.

Recolección de datos

- Solicitar información a través de medios oficiales.

- Solicitar información de acceso wifi en algún establecimiento. Para escanear dispositivos y acceder a
ellos y usarlos, ejemplo las cámaras.
- Complementar información

Nmap – Análisis de vulnerabilidades

Vulnerabilidades con NMAP

Nmap además de servirnos para analizar y escanear información, nos ayuda a buscar vulnerabilidades,
es decir, que esta herramienta puede emplearse para la fase 1 y 2 del ciclo del pentesting.
Ahora bien, a pesar de no ser una herramienta especializada en el análisis de vulnerabilidades, sí que
nos permite obtener información valiosa y de calidad que podemos triangular o falsear con la provista
por otras herramientas especializadas.
Usé mi laboratorio diseñado en el curso de fundamentos de pentesting para ejecutar el análisis de
vulnerabilidades, ya que la máquina de metasploitable nos permite ver información útil para el
aprendizaje que de otra forma no obtendríamos de máquinas menos vulnerables.

Joomscan

Joomscan nos permite idenfificar vulnerabildades en applicaciones web de manera automatica

El script JoomScan, es una aplicación que ejecutada desde consola (a través de interface web) y que te
permite localizar vulnerabilidades web conocidas para Joomla. Está escrita en Perl y permite la
actualización por svn
Escaneo y detección de vulnerabilidades

Wpscan

Wpscan es una herramienta para encontrar vulnerabilidades en sitios web creados con Wordpress. Hay
tres tipos de puntos debiles de Wordpress donde se pueden encontrar vulnerabilidades: el core, los
plugins y los temas.
ejemplo comando:

Si queremos que los resultados se guarden en algún archivo

Nessus Essentials

Escáner de vulnerabilidades Nessus Essentials permite escanear su red doméstica personal con la
misma alta velocidad, evaluaciones a profundidad.
La versión gratuita esta limitada comparada a la versión empresarial.
Cuestionario de escaneo activo y análisis de vulnerabilidades
1. ¿Qué hace la herramienta de IP Logger?
Permite obtener la dirección IP pública al abrir un enlace
2. ¿Qué permite la herramienta Netcat ?
Todas las respuestas son correctas
3. ¿La enumeración de subdominios como técnica de inteligencia es importante debido?
Incrementa la superficie de ataque, al encontrar posibles aplicaciones web adicionales pertenecientes a
una misma organización.

4. ¿A qué se refiere el término Fingerprinting?

Identificar servicios y versiones a través de sus características
5. ¿Cuál es la importancia de identificar un WAF, IDS o IPS?
Todas las respuestas son correctas
6. ¿Con cuál objetivo se utiliza la herramienta Traceroute?
Trazar la ruta por donde pasa un paquete hasta llegar a su destino final

7. ¿Cual de las siguientes opciones dentro de la herramienta Nslookup permite obtener la

dirección IPV6 de un dominio?
set type=AAAA

8. En el comando a continuacion: netdiscover -i eth0 -r 192.168.0.1/16 -P -N | grep -Eo '[0-9]{1,3}\.

[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' ¿Con cual parametro se indica la interfaz de red?
-i

9. ¿SSLscan podria obtener una lista de subdominios a traves de la informacion del certificado?
Verdadero

10. ¿Qué protocolo analiza Enum4Linux?

SMB

11. ¿Cuál es el objetivo de identificar dispositivos y puertos abiertos?

Todas las respuestas son correctas
12. ¿Cómo se indica a nmap que escanee todos los puertos de red de un dispositivo?
-p 1-65635
-p X
13. ¿En qué consiste un Stealth Scan?
Llevar un escaneo llegando hasta el segundo paso del 3-way-handshake
El stealth scan se diferencia del full tcp scan en que para el escaneo de un host, no permite que se
complete el saludo de 3-way-handshake de una conexión normal tcp. Solo llega hasta la parte de
syn-ack y envía un rst (reset) en vez de un ack para el último paso.
14. ¿Que es lo quer permite hacer el parametro -O?
Identificar el sistema operativo del dispositivo escaneado

15. ¿Cuáles son las opciones que incluye el escaneo agresivo de nmap? “Nmap -A <ip>”</ip>
Nmap -O -sV --traceroute -sC

16. ¿Un escaneo con traceroute permite conocer la topologia logica de la red de una
organizacion?
Verdadero
17. ¿Puedes crear un perfil de escaneo que permita identificar cámaras de vigilancia?
Verdadero

18. ¿Cómo se utilizan los Scripts?

--script http-enum
--script “default or (discovery and safe)”

19. ¿Gobuster permite encontrar rutas ocultas dentro de un servidor web?

Verdadero

20. ¿Cuántos niveles de destrucción de documentos existen según la norma GDPR?

7 Niveles

21. ¿La ingeniería social solo sirve para recolectar información?

Falso: También se puede usar en otros ámbitos, para lograr incluso un Hackeo

22. ¿Cuál categoría de Scripts se utiliza para identificar vulnerabilidades con Nmap?
Vuln

23. ¿Vega es un escáner de…?

Todas las aplicaciones web incluyendo el resto de opciones
24. ¿Qué sucede si no utilizas una API Key en WPscan?
El software trabaja con normalidad, solo que no enumera las vulnerabilidades identificadas

25. ¿Joomscan solo escanea webs con Joomla?

Verdadero: Joomscan solo funciona en Webs con Joomla

26. ¿Nessus permite hacer?

Todas las opciones anteriores