search
Page cover

📔Organización y Notas

Una organización de archivos estructurada nos permitirá ser más eficientes en nuestras auditorías y ejercicios de pentesting.

hashtag
Estructura de carpetas

Ejemplo de estructura de carpetas para una auditoría:

afshack@kali$ tree .
.
└── Penetration-Testing

    ├── Host 1
    │   ├── Reconocimiento
    │   │   └── ...
    │   ├── Vulnerabilidades
    │   │   └── ...
    │   ├── Explotación
    │   │   └── ...
    │   ├── Post-Exploitation
    │   │   └── ...
    │   └── Movimientos-Laterales
    │       └── ...
    ├── Host 2
    │   ├── Reconocimiento
    │   │   └── ...
    │   ├── Vulnerabilidades
    │   │   └── ...
    │   ├── Explotación
    │   │   └── ...
    │   ├── Post-Exploitation
    │   │   └── ...
    │   └── Movimientos-Laterales
    │       └── ...
    ├── Reportes
    │   └── ...
	└── Resultados
	    └── ...

Ejemplo de estructura de organización de scripts:

hashtag
Organización para auditorías

hashtag
Tomar nota

Tomar notas es otra parte esencial de nuestras pruebas de penetración porque acumulamos mucha información, resultados e ideas diferentes que son difíciles de recordar todos a la vez. Hay cinco tipos principales diferentes de información que es necesario anotar:

  1. Información recién descubierta

  2. Ideas para pruebas y procesamiento adicionales

  3. Resultados del escaneo

  4. Inicio sesión

  5. Capturas de pantalla

hashtag
Herramientas

Hay muchos recursos disponibles para la documentación, aquí dejo alguno de los mejores:

LogoThe AI workspace that works for you. | NotionNotionchevron-right
Documentación online estilo Markdown
LogoXmind - Mind Map & Brainstorm ToolXmindHQchevron-right
Mapas mentales y relación de ideas
LogoObsidian - Sharpen your thinkingObsidianchevron-right
Documentación online estilo Markdown
LogoGitBookwww.gitbook.comchevron-right
Documentación online estilo Markdown

hashtag
Ejemplo de estructura de reporte

Un ejemplo de estructura para un reporte profesional podría ser algo así:

External Penetration Test - <Nombre del cliente>

  • Scope (incluidas las direcciones/rangos de IP dentro del alcance, las URL, cualquier host frágil, los plazos de prueba y cualquier limitación u otra información relativa que necesitemos tener a mano)

  • Puntos de contacto del cliente

  • Credenciales

  • Discovery / Enumeración

    • Escaneos

    • Live hosts

  • Application Discovery

    • Escaneos

    • Hosts Interesantes / Notables

  • Explotación

    • <Hostname o IP>

    • <Hostname o IP>

  • Post-Exploitation

    • <Hostname o IP>

    • <<Hostname o IP>

hashtag
Capturas de pantalla

Es fundamental conseguir claridad, y una imagen vale más que mil palabras. Para ello podemos utilizar una herramienta llamada FlameShot que nos facilita realizar capturas de pantalla y editarlas directamente.

LogoFlameshotFlameshotchevron-right
Logocaptura de pantalla+: descarga e instalación gratuitas en Windows | Microsoft StoreMicrosoft Store- Descarga aplicaciones, juegos y mucho más para tu PC Windowschevron-right

hashtag
Diagramas

En algunos ejercicios de hacking ético, como técnicas de pivoting, tener un diagrama de la red en la que nos estamos moviendo puede resultar de gran ayuda.

hashtag
Draw.io

Para esto yo recomiendo la web de draw.io donde podemos crear distintos diagramas fácilmente:

LogoFlowchart Maker & Online Diagram Softwareapp.diagrams.netchevron-right

hashtag
FlossFlow

También es muy útil la aplicación de FlossFlow, que nos permite crear diagramas isométricos super visuales directamente desde una interfaz web muy fácil de usar:

LogoGitHub - stan-smith/FossFLOW: Make beautiful isometric infrastructure diagramsGitHubchevron-right

AnteriorWindows 11 DeveloperSiguienteDocumentación e informes

Última actualización