Recolección de

información
Recolección de información

Índice
1. Escaneo .................................................................................................................. 3
2. Nmap ..................................................................................................................... 4
2.1. Cómo obtener NMAP ............................................................................................. 5
2.2. Definiciones de Nmap ............................................................................................ 7
2.3 Tipos de escaneo .................................................................................................... 7
2.4. Los estados del escaneo ........................................................................................ 9
2.5. Comandos ............................................................................................................ 10
2.6. Utilizando Nmap ................................................................................................... 12
3. Nikto .................................................................................................................... 17
Recolección de información

Fase de escaneo
 Fase de escaneo

Escaneo
En muchas ocasiones se puede determinar si una aplicación es vulnerable o no, por ejemplo,
a través de la identificación de la versión, o analizando la respuesta de la aplicación o el
sistema operativo.

Existen diversas herramientas que pueden ser utilizadas para automatizar este proceso. Una
de las más utilizadas es Nmap, aunque también disponemos de otras cómo:

- MBSA.
- Nessus.
- PSI Secunia.
- W3af.
- Vega.
- Acunetix.
- Wikto/Nikto.
- Webcruiser.
- Web Security Scanner.
- App Scan.
- ZAProxy. 4
 Fase de escaneo

Escaneo
Entre las más utilizadas podemos distinguir:

La herramienta MBSA (Microsoft Baseline Security Analyzer) permite identificar Windows

vulnerables. La herramienta es de ejecución local, es decir, se necesita tener acceso a la
máquina o disponer de credenciales para ejecutar la herramienta en remoto, por lo que
podemos entender como una caja blanca. Este programa escanea buscando actualizaciones
no aplicadas en el sistema y fallos en la configuración del software. Escanea diferentes
versiones de Windows y aplicaciones, por ejemplo, IIS o SQL Server. Se generan informes
en formato XML sobre los resultados de cada equipo.

5
 Fase de escaneo

Escaneo

La herramienta Nessus es un escáner de vulnerabilidades que permite ser gestionado a

través de un portal web. Implementa diferentes plugins, los cuales se encargan de realizar
distintas verificaciones. El auditor puede elegir qué tipo de plugins quiere o necesita lanzar,
por ejemplo, en función del ámbito de la auditoría (si es caja blanca o negra). Cuando Nessus
encuentra vulnerabilidades, a través de sus plugins, las engloba en Info, Low, Medium, High
y Critical. El auditor que quiere lanzar un escaneo con Nessus debe tener claro diferentes
circunstancias.
6
 Fase de escaneo

Escaneo

2. NMAP

Nmap (Network Mapper) es un software libre para explorar, administrar y auditar una Red de
ordenadores. Fue diseñado originalmente para Linux aunque, actualmente, puede utilizarse
en múltiples plataformas; como, por ejemplo, ZENMAP. Es la versión utilizada por ejemplo en
la plataforma Windows, donde presenta una versión gráfica y de fácil utilización.
Entre sus utilidades podemos encontrar que detecta:

- Hosts online.

- Escanea los puertos y servicios.

- Sistemas operativos.

- Firewalls.

- Otros.
7
 Fase de escaneo

Escaneo

Principalmente, esta herramienta es utilizada para 3 cosas:

- Auditorias de seguridad.

- Pruebas rutinarias de escaneo de redes.

- Recolección de información para futuros ataques.

8
 Fase de escaneo

Escaneo

2.1. Cómo obtener NMAP

Para instalar NMAP en el sistema operativo Linux, podemos lanzar el comando e instalarlo
desde la Terminal (consola).

- NMAP en Debian y distribuciones basadas en Debian:

sudo apt-get install Nmap –y

- NMAP en CentOS, RedHat, Fedora:

sudo yum –y install Nmap

9
 Fase de escaneo

Escaneo

 NMAP en FreeBSD:

sudo pkg install Nmap

En dicho caso, seguiríamos estos pasos desde la Terminal (consola):

wget https://Nmap.org/dist/Nmap-version.tgz
tar –xzf Nmap-version.tgz
cd Nmap-version
./configure
make
make install

10
 Fase de escaneo

Escaneo

2.2. Definiciones de Nmap

En NMAP encontraremos diferentes siglas para cada tipo de escaneo. En este apartado
vamos a dejar definidos los significados de cada uno de los diferentes escaneos y para que se
utiliza.

- Definición TCP: “Transmission Control Protocol“ o en Español, Protocolo de control de

transmisión. Es un protocolo utilizado para crear “conexiones” entre sí a través de las cuales
puede enviarse un flujo de datos.

- Definicion FIN: significa “finalizar, terminar o acabar”.

- Definicion UDP: “User Datagram Protocol” o, en español, Protocolo de datagrama del

usuario. Es un protocolo del nivel de transporte basado en el intercambio de datagramas.

11
 Fase de escaneo

Escaneo

- Definición Null: significa “nulo”. Es un término utilizado en la computación para hacer

referencia a la nada.

- Definición ACK: proveniente del inglés acknowledgement, en español “acuse de recibo”

o “asentimiento”. En la comunicación entre ordenadores, es un mensaje que el destino de la
comunicación envía al origen de esta para confirmar la recepción de un mensaje. Si el
mensaje está protegido por un código detector de errores y el dispositivo de destino posee
además capacidad para procesar dicha información, el ACK también puede informar si se ha
recibido de forma íntegra el mensaje, y sin cambios.

12
 Fase de escaneo

Escaneo

2.3 Tipos de escaneo

Vamos a definir algunos tipos de escaneos realizados con NMAP:

- Escaneo TCP Syn: escaneo semi abierto porque no se completa todo el proceso. Su
objetivo es evitar que quede registrado el escaneo en la maquina objetivo.

- Escaneo TCP Connect: es muy similar al escaneo TCP Syn con la diferencia de que nos
arriesgamos mucho más a que nuestra actividad quede registrada.

- Escaneo FIN: si el cortafuegos está configurado para interceptar los paquetes SYN,
bloquearía los dos escaneos que hemos realizado hasta ahora. Una de las posibilidades para
saltar este cortafuegos sería utilizar el escaneo FIN, en el cual NMAP enviará los paquetes
sólo si el SYN Flag está activo.

13
 Fase de escaneo

Escaneo

- Escaneo Null o Xmas: con el fin de intentar evitar los cortafuegos sería utilizar los escaneos
Null o Xmas. El objetivo de estos escaneos es saltarse la protección de un cortafuegos
básico. Si el cortafuegos no espera la llegada de estos paquetes, podría ocurrir que no
supiera lo que hacer con ellos y los dejara pasar, pero esto no quiere decir que funcione
siempre.

- Escaneo UDP: este protocolo no siempre es bloqueado por los cortafuegos. Con lo que
puede ser mucha utilidad si no consigues resultados satisfactorios con otros protocolos de
escaneo.

- Escaneo TCP ACK: es diferente al resto porque no intenta determinar si los puertos están
abiertos. El objetivo de este escaneo es detectar el tipo de cortafuegos que tenemos delante.

- Escaneo TCP Windows: funciona de forma similar al escaneo TCP ACK, estudia el
cortafuegos que tenemos delante, pero con la diferencia que, si puede alcanzar el puerto,
identifica si el puerto que escaneamos se encuentra abierto o cerrado.
14
 Fase de escaneo

Escaneo

2.4. Los estados del escaneo

Dependiendo de qué respuesta nos devuelva la máquina, podremos utilizar la información

conseguida, para que de esa forma y mediante otras herramientas o escaneos más profundos se
puedan adquirir más información sobre el host que estemos analizando. Cuando escaneamos un
puerto, NMAP nos mostrará información bastante específica sobre la información obtenida de él.
Dentro de los posibles estados de los puertos podemos encontrar seis tipos de estados diferentes:

1. Estado Abierto. En este estado la aplicación queda a la escucha en el puerto, básicamente, esta,
acepta conexiones ya sean TCP o UDP.

2. Estado Cerrado. En este estado el puerto recibe paquetes de Nmap y envía un paquete RST
(Reset), aunque hay que tener en cuenta que no hay ninguna aplicación pendiente de escucha.

3. Estado Filtrado. En este estado, los paquetes no alcanzan el puerto, por lo que no puede decidir
si el estado del puerto es abierto o cerrado. Puede significar que tenemos estamos ante algún tipo
de firewall.
15
 Fase de escaneo

Escaneo

4. Estado No filtrado. Este estado solo lo veremos cuando estemos realizando un escaneo ACK.
No hay un posible firewall pero, el escaneo, no es suficiente para detectar el estado del puerto.

5. Estado Abierto|filtrado. Cuando realizamos escaneos UDP, IP, FIN, Null y Xmas podemos
obtener este resultado, ya que no se puede determinar si el estado del puerto es abierto o
filtrado.

6. Estado Cerrado|filtrado. Este resultado solo lo dará al realizar un escaneo IPID pasivo y se
debe a que no puede determinar si el puerto se encuentra cerrado o filtrado.

16
 Fase de escaneo

Escaneo

2.5. Comandos

Para acceder a la lista de comandos de NMAP utilizaríamos los siguientes comandos en la

Terminal de Kali Linux:

man Nmap
Nmap –h
Nmap –help

17
 Fase de escaneo

Escaneo

Estos son los comandos más utilizados en NMAP:

Comandos Comunes:

- iL file (se pasa un fichero con el listado de objetivos a escanear).

- iR num (escanea objetivos aleatorios).
- exclude host (excluir equipos).
- excludefile file (se pasa un fichero con los objetivos a excluir).
- Pn (no realiza ping).
- sL (lista los equipos).
- sn (ping sweep).
- PR (ping arp).
- ps puerto (ping arp al puerto o puertos especificados).
- PS puerto (ping tcp ack al puerto o puertos especificados).
- PU puerto (ping udp al puerto o puertos especificados).
- PY puerto (ping sctp al puerto o puertos especificados).
- PE (ping icmp).
- PM (ping icmp address mask). 18
 Fase de escaneo

Escaneo

- 6 (habilita el escaneo ipv6).

- sS (escaneo TCP Syn).
- sT (escaneo TCP Connect).
- sF (escaneo FIN).
- sN (escaneo Null).
- sX (escaneo Xmas).
- sU (escaneo UDP).
- sW (escaneo TCP Window).
- sO (escaneo IP Protocol).
- sA (realiza el escaneo TCP ACK).
- vv (modo verbose).
- n (evita el intento de resolución DNS inversa para acelerar el proceso).
- p puerto (indicamos el puerto sobre el cual queremos realizar el escaneo).

19
 Fase de escaneo

Escaneo

Comandos DNS:

- PO protocolo (escanea el protocolo especificado).

- n/-R (resolver DNS nunca/siempre).
- dns-servers server (especifica los servidores a escanear).
- traceroute (muestra además el trazado de ruta).
- p min-max (escanea el rango de puertos especificado).
- top-ports (escanea los puertos más utilizados).

20
 Fase de escaneo

Escaneo

Escaneo:

- sV (identifica servicios y versiones).

- allports (escanea todos los puertos posibles).
- version-intensity num (especifica la intensidad del escaneo de 0-9 (min-max), hay que tener cuidado ya
que el uso de esta acción hace mucho ruido en la máquina objetivo).
- version-light (escaneo en intensidad 2).
- version-all (escaneo en intensidad 9).
- version-trace (traza la actividad del análisis de versiones).

21
 Fase de escaneo

Escaneo

Sistema Operativo:

- A (Activa la detección de OS, versión, script y traceroute).

- O (Detecta el OS).
- osscan-limit (Limita la detección).
- osscan-guess (Realiza un escaneo más agresivo).

22
 Fase de escaneo

Escaneo

2.6. Utilizando Nmap

En este apartado vamos a ver algunos de los comandos para realizar escaneos en NMAP y su
funcionamiento. Utilizaremos una dirección IP (en este caso una de prueba) de la web a la que
deseamos auditar, y así procederemos a los escaneos. Los siguientes, son ejemplos de los
diferentes comandos y aplicaciones.

Escaneo básico con NMAP

Empezaremos realizando el escaneo más básico de NMAP, en el que no utilizaremos ninguna de

las muchas opciones de las cuales dispone.

Para comenzar, podemos escanear una red o subred completa, para ello el comando sería el
siguiente:

Nmap 192.0.78.13
23
 Fase de escaneo

Escaneo

Si la dirección a la que deseamos auditar es una subred, la subred al final de la dirección IP irá
separada por una / “barra”.

Si hiciéramos un escaneo a una dirección IP con una subred, quedaría así:

Nmap 192.0.78.13/24

Donde el /24 representaría la subred a la que estamos auditando. Una vez descubiertas las
máquinas disponibles en la subred, podemos escanear una en concreto, colocando la IP de dicho
host.

En este caso, En el escaneo de la máquina podríamos ver si tiene abiertos o cerrados los
puertos.

24
 Fase de escaneo

Escaneo

Escaneo TCP Syn

El escaneo TCP Syn, es el también llamado escaneo semiabierto, porque no se completa todo el
proceso. La idea es evitar que quede registrado el escaneo en la máquina objetivo. Para esto,
NMAP envía un segmento SYN y queda a la espera de recibir el SYN-ACK, pero, aunque lo
reciba no cerraría el saludo (handshake). De esta forma no llega a iniciarse sesión y es probable
que la máquina no lo guarde en el registro.

El comando para ejecutarlo sobre la dirección IP que deseamos, sería el siguiente:

Nmap -sS 192.0.78.13

25
 Fase de escaneo

Escaneo

Escaneo TCP Connect

En la definición hemos entendido que este escaneo es igual que el TCP Syn. A diferencia de que
nos arriesgamos mucho más a que detecten nuestra actividad. El comando para ejecutarlo sería:

Nmap -sT 192.0.78.13

Escaneo FIN, Null y Xmas

26
 Fase de escaneo

Escaneo

Si el cortafuegos está configurado para interceptar los paquetes SYN, bloquearía los dos
escaneos que hemos realizado hasta ahora. Una de las posibilidades para saltar este
cortafuegos, sería utilizar el escaneo FIN, en el cual NMAP enviará los paquetes solo si el Flag
SYN está activo.

Para ello lanzaríamos el siguiente comando:

Nmap -sF 192.0.78.13

Otras opciones de intentar evitar los cortafuegos sería utilizar los escaneos Null o Xmas. El
objetivo de estos escaneos es saltarse la protección de un cortafuegos básico. Si el cortafuegos
no espera la llegada de estos paquetes, podría ocurrir que no supiera lo que hacer con ellos y los
dejara pasar, pero esto no quiere decir que funcione siempre. Por suerte, la mayoría de
cortafuegos ya saben cómo frenarlo y no caer en la trampa, pero esto no quiere decir que no
funcione.
27
 Fase de escaneo

Escaneo

Escaneo con Null:

Nmap -sN 192.0.78.13

Escaneo con Xmas:

Nmap -sX 192.0.78.13

Si al escanear obtenemos como resultado “filtered”, eso nos demuestra que estamos ante algún
tipo de cortafuegos que nos deniega el acceso.

28
 Fase de escaneo

Escaneo

Escaneo UDP

Cambiando de protocolo, podemos obtener diferentes resultados, debido, principalmente, a que

este protocolo no siempre es bloqueado por los cortafuegos. Si los últimos comandos no nos
dieron los resultados esperados, vamos a probar ahora con este protocolo.
Para ello, usaríamos el siguiente comando:

Nmap -sU 192.0.78.13

Hay que tener en cuenta también que es habitual que los hosts abran y cierren los puertos en
determinados momentos; por lo cual, es una buena práctica, realizar el escaneo en diferentes
momentos para intentar obtener diferentes resultados.

29
 Fase de escaneo

Escaneo

Escaneo TCP ACK

Este tipo de escaneo es diferente al resto porque no intenta determinar si los puertos están
abiertos. El objetivo de este escaneo es detectar el tipo de cortafuegos que tenemos delante.

La sonda enviada solo contiene el Flag ACK activo. Si el puerto no responde o devuelve un
paquete ICMP (destination unreachable), consideramos que el puerto está filtrado por el
cortafuegos. Si, por el contrario, devuelve un paquete RST, se clasificaría como (unfiltered), es
decir, que es alcanzable.

Si quisiéramos mandar el comando sobre una máquina Linux con Ubuntu y con el cortafuegos
desactivado sobre el puerto 24, usaríamos el siguiente comando:

Nmap -sA -n -p 24 192.0.78.13

30
 Fase de escaneo

Escaneo

Donde cada opción significa:

sA: realiza el escaneo TCP ACK.

N: evita el intento de resolución DNS inversa para acelerar el proceso.

p puerto: indicamos el puerto sobre el cual queremos realizar el escaneo.

Si lo quisiéramos realizar sobre una máquina Windows con el cortafuegos activado, sobre el
puerto 137, seria así:

Nmap -sA -n -p 137 192.0.78.13

Al contrario que en Linux donde el puerto estaría abierto, en Windows sí estaría activado el
cortafuegos, y para el caso del puerto 137 sí está siendo filtrado por el cortafuegos,
imposibilitando nuestro acceso al mismo.
31
 Fase de escaneo

Escaneo

Escaneo TCP Window

Este tipo de escaneo funciona de forma similar al escaneo TCP ACK, estudia el cortafuegos que
tenemos delante, pero con la diferencia en que, si puede alcanzar el puerto, identifica si el puerto
que escaneamos se encuentra abierto o cerrado. El Flag ACK se envía activo en la sonda y se
analiza el campo del tamaño de ventana de la respuesta. En algunos sistemas, este campo tiene
un valor positivo si está abierto y negativo si está cerrado.

Si utilizando el ejemplo del caso anterior, lo lanzamos a la máquina de Kali, que no tiene el
cortafuegos, utilizaríamos este comando:

Nmap –sW -n -p 137 192.0.78.13

Con ello, podríamos obtener aun así un resultado closed, es decir, cerrado. Esto no quiere decir
que debamos de fiarnos siempre de este escaneo, porque puede dar resultados diferentes si lo
realizamos en diferentes momentos. Lo ideal sería seguir probando para tener seguro que el
resultado sea fiable 32
 Fase de escaneo

Escaneo

3. NIKTO

Nikto es una herramienta para analizar vulnerabilidades en servidores web. Está diseñado para
encontrar varios archivos, configuraciones y programas predeterminados e inseguros en
cualquier tipo de servidor web.

Instalación

Esta herramienta ya viene incluida en algunos sistemas como Kali Linux o Parrot OS, pero en
caso de necesitar instalarla, podríamos descargarla desde la página de Github.
La última reléase, a día de escribir este capítulo es la versión 2.1.6
https://github.com/sullo/nikto/archive/2.1.6.tar.gz

33
 Fase de escaneo

Escaneo

Una vez descomprimido borramos el fichero descargado (no nos será de más utilidad), si todo ha
ido bien, deberíamos disponer de una carpeta llamada “nikto-2.1.6”. Accedemos a ella y
posteriormente a la carpeta “program”.

Para poder ejecutar la herramienta necesitamos tener instalado “Perl” ya que está escrita en
este lenguaje. Para comprobar que todo ha ido bien, ejecutamos lo siguiente, nos debería de
mostrar una salida similar a esta:

34
Fase de escaneo

Escaneo

35
Fase de escaneo

Escaneo

36
Fase de escaneo

Escaneo

Uso básico

La búsqueda más básica de Nikto requiere simplemente un host como objetivo, si no se

especifica ningún puerto, analiza el Puerto 80 por defecto. El host puede ser una IP o un
nombre de dominio, se especifica mediante la opción -h (-host).

Este ejemplo escanearía la IP 10.0.2.5 en el puerto TCP 80:

37
Fase de escaneo

Escaneo

Para especificar otro puerto, utilizaríamos la opción -p (-port). Con este ejemplo
escanearíamos la IP 10.0.2.5 en el puerto TCP 443:

El host, la IP o dominio y los puertos se pueden especificar con una sintaxis de URL:

También admite escaneos en múltiples puertos:

38
Fase de escaneo

Escaneo

Nikto también soporta múltiples hosts, simplemente indicando en un fichero de texto los
diferentes objetivos mediante la opción -h (-host).
Un ejemplo de un fichero sería:

39
Fase de escaneo

Escaneo

Funciones interactivas

Nikto dispone de varias opciones que pueden ser modificadas durante el escaneo, mientras
se realiza un análisis se puede presionar cualquiera de las siguientes teclas más “Enter” y
se activará o desactivará la función:

Espacio - Informar el estado actual del escaneo

v - Activa / desactiva el modo detallado
d - Activa / desactiva el modo de depuración
e - Activa / desactiva el informe de errores
p - Activa / desactiva los informes de progreso
r - Activa / desactiva la visualización de redireccionamiento
c - Activa / desactiva la visualización de cookies
o - Activa / desactiva la pantalla OK
a - Activa / desactiva la pantalla de autenticación
q - Salir
N - Próximo anfitrión 40
P – Pausa
Fase de escaneo

Escaneo

Todas las opciones

Para ver todas las opciones disponibles de la herramienta, se puede utilizar la opción -H (-
Help)

41
Fase de escaneo

Actividades prácticas

Fase de escaneo

42