Pruebas de Penetración Avanzadas en la Práctica: el Código y los Comandos que Realmente Importan
Penetration Testing Avanzado: lo esencial en un artículo — código real, diagramas y pasos concretos, extractos de un curso de 45 lecciones.
Aquí no hay teoría interminable: abrimos la terminal y practicamos. Aquí lo esencial de Penetration Testing Avanzado, extraído directamente de un curso completo de 45 lecciones — con código real que puedes copiar y pegar ahora.
- Introducción y Marco Legal
- Reconocimiento Avanzado OSINT
- Escaneo y Enumeración Furtivos
- Explotación Avanzada
- Post-Explotación y Pivoting
Enumeración SMB, SNMP, LDAP, NFS
Objetivos pedagógicos
- Enumerar recursos compartidos, sesiones y usuarios mediante SMB
- Extraer la MIB completa de un equipo mediante SNMP
- Consultar un directorio LDAP de forma anónima
- Detectar y montar exportaciones NFS mal configuradas
- Mapear los servicios RPC de un objetivo
La intuición básica: los servicios hablan demasiado
La enumeración es el arte de escuchar lo que un servicio revela voluntariamente. Muchos protocolos empresariales se diseñaron pensando en la comodidad, no en la discreción. Un recurso compartido SMB con acceso de invitado, un SNMP con la comunidad public, un LDAP que responde a enlaces anónimos: fugas que convierten a un pentester ciego en un atacante que ya conoce nombres de cuentas, grupos y topología.
La regla de oro: la enumeración siempre precede a la explotación. Un solo nombre de usuario válido obtenido aquí puede alimentar un password spraying más adelante. Tómate el tiempo de anotarlo todo.
SMB: la caja fuerte a menudo abierta
SMB (puertos 139 y 445) gestiona el uso compartido de archivos en Windows. Es el objetivo más rentable de una red interna. Empezamos listando los recursos compartidos accesibles, las sesiones y probando una sesión nula.
| Información SMB | Herramienta / comando | Por qué es útil |
|---|---|---|
| Recursos compartidos accesibles | smbclient -L, nxc --shares | Archivos sensibles, copias de seguridad, scripts |
| Usuarios del dominio | nxc --users, RID brute | Alimenta password spraying |
| Política de contraseñas | nxc --pass-pol | Evitar bloquear cuentas |
| Versión de SO / signing | nxc smb <cible> | Dirigir exploits, NTLM relay |
SNMP: el equipo parlanchín
SNMP (UDP 161) sirve para supervisar routers, impresoras y servidores. Con la comunidad por defecto public, descargamos toda la MIB: procesos, interfaces, usuarios, a veces contraseñas en texto plano.
LDAP y NFS: directorio y archivos
LDAP (389 / 636)
El directorio de Active Directory. Un enlace anónimo suele exponer toda la estructura: cuentas, grupos, descripciones (a veces contraseñas).
Persistencia: tasks, services, autoruns, WMI
Objetivos pedagógicos
- Elegir un mecanismo de persistencia adaptado al nivel de discreción deseado
- Implementar una tarea programada, un servicio o un autorun
- Comprender la persistencia mediante suscripción WMI
- Conocer los equivalentes en Linux (cron, systemd, .bashrc)
- Documentar cada artefacto para la limpieza final
La intuición básica: sobrevivir a un reinicio sin repetir todo el camino de ataque
La persistencia evita tener que repetir toda la cadena de explotación en cada reinicio del objetivo. En Red Team es esencial: una evaluación dura semanas y un solo reinicio haría perder el acceso. El principio consiste en injertar la ejecución de tu implante en un mecanismo legítimo del sistema.
El compromiso siempre es el mismo: cuanto más fiable y accesible (clave Run del usuario), más fácil de detectar; cuanto más sigiloso (suscripción WMI), más complejo de colocar y limpiar.
Persistencia en Windows: del más simple al más sigiloso
| Mecanismo | Nivel requerido | Sigilo |
|---|---|---|
| Clave Run (registro) | Usuario | Bajo (Autoruns lo detecta) |
| Scheduled Task | Usuario / Admin | Medio |
| Servicio de Windows | Admin | Medio |
| Suscripción WMI | Admin | Alto |
Persistencia mediante suscripción WMI
Una suscripción WMI permanente asocia un evento disparador (ej.: cada N segundos o al inicio) con una acción (ejecutar un comando). Vive en el repositorio WMI, fuera del sistema de archivos visible, lo que lo hace sigiloso.
Atención: Solo implementa persistencia si el ROE lo autoriza explícitamente y limpia TODO al final de la misión. Una persistencia olvidada se convierte en una vulnerabilidad real explotable por un atacante real.
Crear tus payloads personalizados con msfvenom
Objetivos pedagógicos
- Generar un payload adaptado al SO y a la arquitectura
- Elegir el formato de salida (exe, elf, raw, python, dll)
- Excluir badchars y codificar un payload
- Listar los payloads disponibles según el contexto
- Recibir la respuesta con un handler bien configurado
La intuición básica: un payload = qué ejecutar + cómo empaquetarlo
Un payload de msfvenom combina dos decisiones. Primero qué hacer en el objetivo: abrir un meterpreter, lanzar un reverse shell, ejecutar un comando. Después cómo entregarlo: un .exe para depositar, un .elf de Linux, shellcode en bruto para inyectar en un exploit, un payload Python para pegar.
msfvenom es la fusión de msfpayload y msfencode. Dominar sus opciones te permite fabricar la herramienta adecuada para cada situación, en lugar de usar un .exe genérico que todos los antivirus conocen.
Anatomía de un comando msfvenom
Ejemplos por contexto
Web (PHP / JSP)
Recibir la respuesta
Un payload reverse solo es útil si un handler está escuchando. Configúralo con EXACTAMENTE el mismo payload, LHOST y LPORT.
Este artículo cubre los extractos más útiles — el curso completo Penetration Testing Avanzado (11 capítulos, 45 lecciones, ejercicios resueltos y proyecto final) te lleva hasta el final.
./acceder-al-curso-completo curso gratuito: Dominar Claude CodeFAQ
¿Cuánto tiempo se necesita para aprender Penetration Testing Avanzado?
¿Se necesitan requisitos previos?
¿Por dónde empezar concretamente?
📬 ¿Quieres recibir este tipo de guía cada semana? Suscríbete gratis — código real, cero palabrería.