Nmap
Descubrimiento de host - Ping Scan
sudo nmap -sn <TARGET-RANGE>
# Ejemplo
sudo nmap -sn 192.168.56.1/24
-snEsta opción le dice a Nmap que no haga un escaneo de puertos después del descubrimiento de hosts y que sólo imprima los hosts disponibles que respondieron a la traza icmp.
Escaneo de puertos
sudo nmap -p- --open -Pn -n <RHOST> -oG openPorts -vvv
Parámetros utilizados:
-sS: Realiza un TCP SYN Scan para escanear de manera sigilosa, es decir, que no completa las conexiones TCP con los puertos de la máquina víctima.-p-: Indica que debe escanear todos los puertos (es igual a-p 1-65535).--open: Muestra solo los puertos que están abiertos, excluyendo los cerrados.--min-rate 5000: Establece el número mínimo de paquetes que nmap enviará por segundo.-Pn: Desactiva la detección de hosts (no realiza un ping previo). Esto es útil si el host tiene el ICMP (ping) bloqueado.-n: Desactiva la resolución de nombres DNS, lo que acelera el escaneo porque no intenta resolver las direcciones IP a nombres de dominio.-oG: Determina el formato del archivo en el cual se guardan los resultados obtenidos. En este caso, es un formato grepeable, el cual almacena todo en una sola línea. De esta forma, es más sencillo procesar y obtener los puertos abiertos por medio de expresiones regulares, en conjunto con otras utilidades como pueden ser grep, awk, sed, entre otras.-vvv: Activa el modo verbose para que nos muestre resultados a medida que los encuentra.
Versión y Servicio
sudo nmap -sCV -p<PORTS> <RHOST> -oN servicesScan -vvv
-sCVEs la combinación de los parámetros-sCy-sV. El primero determina que se utilizarán una serie de scripts básicos de enumeración propios de nmap, para conocer el servicio que esta corriendo en dichos puertos. Por su parte, segundo parámetro permite conocer más acerca de la versión de ese servicio.-p-: Indica que debe escanear todos los puertos (es igual a-p 1-65535).-oN: Determina el formato del archivo en el cual se guardan los resultados obtenidos. En este caso, es el formato por defecto de nmap.-vvv: Activa el modo verbose para que nos muestre resultados a medida que los encuentra.
UDP (top 100)
sudo nmap -n -v -sU -F -T4 --reason --open -T4 -oA nmap/udp-fast <RHOST>
UDP (top 20)
sudo nmap -n -v -sU -T4 --top-ports=20 --reason --open -oA nmap/udp-top20 <RHOST>
Obtener ayuda sobre scripts
nmap --script-help="http-*"
Listar scripts de Nmap
locate -r '\.nse$' | xargs grep categories | grep categories | grep 'default\|version\|safe' | grep smb
Escaneo de puertos
Descubrimiento de hosts Windows
arp -d
for /L %a (1,1,254) do @start /b ping 40.40.40.%a -w 100 -n 2 >nul
arp -a
Descubrimiento de hosts Linux
for i in $(seq 1 254); do ping -c 1 192.168.50.$i &>/dev/null && echo "[+] Host 192.168.50.$i - ACTIVE"; done
#!/bin/bash
octetos=$(echo "$1" | grep -oE '([0-9]{1,3}\.){2}[0-9]{1,3}')
for i in $(seq 1 254); do
timeout 1 bash -c "ping -c 1 $octetos.$i" &>/dev/null && echo "[+] Host $octetos.$i - ACTIVE" &
done; wait
./hostDiscovery.sh 192.168.56
Descubrimiento de hosts Linux (alternativa)
Si la máquina no cuenta con la utilidad ping, podemos utilizar el siguiente script como alternativa:
#!/bin/bash
octetos=$(echo "$1" | grep -oE '([0-9]{1,3}\.){2}[0-9]{1,3}')
for i in $(seq 1 254); do
timeout 1 bash -c "echo >/dev/tcp/$octetos.$i/80" &>/dev/null && echo "[+] Host $octetos.$i - ACTIVE" &
done
wait
./hostDiscovery.sh 192.168.56
Descubrimiento de puertos abiertos Linux
#!/bin/bash
for port in $(seq 1 65535); do
timeout 1 bash -c "echo '' > /dev/tcp/$1/$port" 2>/dev/null && echo "[+] Port $port - OPEN" &
done; wait
./portDiscovery.sh <RHOST>
Escaneo de puertos a través de proxychains usando hilos
seq 1 65535 | xargs -P 500 -I {} proxychains nmap -sT -p{} -open -T5 -Pn -n <RHOST> -vvv -oN servicesScan 2>&1 | grep "tcp open"