💻Nmap

Nmap es una herramienta de escaneo de puertos y análisis de redes de código abierto que se utiliza para identificar hosts y servicios en una red.

Nota: Este tipo de búsquedas son muy invasivas, ya que hacen muchas peticiones al servidor del objetivo, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo

Nmap

Nmap: the Network Mapper - Free Security Scanner

Nmap es una de las herramientas de seguridad más populares y potentes de la actualidad, y se utiliza en pruebas de penetración, hacking ético, administración de redes y otros propósitos relacionados con la seguridad de la red. Viene instalado por defecto en Kali Linux.

Video completo de la herramienta

Cheatsheet

Comando	Descripción
nmap <host>	Escaneo de host simple
nmap <start_ip>-<end_ip>	Escaneo de rangos de direcciones IP
nmap -p <port_range> <host>	Escaneo de un rango de puertos
nmap -p- <host>	Escaneo de todos los puertos
nmap -p 1-1000 <host>	Escaneo de los 1000 puertos más comunes
nmap -sS <host>	Escaneo sigiloso (no genera registros en destino)
nmap -sV <host>	Escaneo de servicios y versiones
nmap -T5 -F <host>	Escaneo rápido sin resolución de DNS
nmap -O <host>	Escaneo de sistemas operativos
nmap --script vuln <host>	Escaneo de scripts de vulnerabilidades
nmap --script <script_name> <host>	Escaneo de scripts específicos
nmap -sU <host>	Escaneo UDP
nmap -sn <network>	Escaneo de hosts vivos en una red
nmap -oX output.xml <host>	Guardar resultados en formato XML

Estados de los puertos

Hay un total de 6 estados diferentes para un puerto escaneado que podemos obtener:

Estado	Descripción
open	Esto indica que se ha establecido la conexión con el puerto escaneado. Estas conexiones pueden ser conexiones TCP, UDP o SCTP.
closed	Cuando el puerto se muestra como cerrado, el protocolo TCP indica que el paquete que recibimos contiene un indicador RST. Este método de escaneo también se puede utilizar para determinar si nuestro objetivo está vivo o no.
filtered	Nmap no puede identificar correctamente si el puerto escaneado está abierto o cerrado porque no se devuelve ninguna respuesta del destino para el puerto o recibimos un código de error del destino.
unfiltered	Este estado de un puerto solo ocurre durante el escaneo TCP-ACK y significa que el puerto es accesible, pero no se puede determinar si está abierto o cerrado.
open|filtered	Si no obtenemos respuesta para un puerto específico, Nmap lo establecerá en ese estado. Esto indica que un firewall o un filtro de paquetes pueden proteger el puerto.
closed|filtered	Este estado solo ocurre en los escaneos inactivos de ID de IP e indica que fue imposible determinar si el puerto escaneado está cerrado o filtrado por un firewall.

Definir el target en una variable

export TARGET="githubapp.com"

Reconocimiento de Hosts

sudo nmap -sn $TARGET

sudo nmap 10.129.2.0/24 -sn -oA tnet | grep for | cut -d " " -f5

10.129.2.4
10.129.2.10
10.129.2.11
10.129.2.18
10.129.2.19
10.129.2.20
10.129.2.28

10.129.2.0/24	Rango de red objetivo.
-sn	Desactiva el escaneo de puertos.
-oA tnet	Almacena los resultados en todos los formatos comenzando con el nombre 'tnet'.

Escanear lista de IP

Durante una prueba de penetración interna, no es raro que se nos proporcione una lista de IP con los hosts que necesitamos probar. Nmap también nos da la opción de trabajar con listas y leer los hosts de esta lista en lugar de definirlos o escribirlos manualmente.

Una lista de este tipo podría verse así:

cat hosts.lst

10.129.2.4
10.129.2.10
10.129.2.11
10.129.2.18
10.129.2.19
10.129.2.20
10.129.2.28

sudo nmap -sn -oA tnet -iL hosts.lst | grep for | cut -d " " -f5

10.129.2.18
10.129.2.19
10.129.2.20

-iL hosts.lst	Realiza análisis definidos contra objetivos en la lista hosts.lst

Descubrir todos los nodos de la red

sudo nmap IP-TARGET # el último valor cambiar por 0/24
sudo nmap 198.164.1.0/24

Descubrir puertos abiertos

sudo nmap -p- --open -sS --min-rate 5000 -v -n $TARGET

Identificación del sistema operativo

sudo nmap -A -V $TARGET
sudo nmap -v -O $TARGET

Escaneo de puertos TCP

sudo nmap -sS $TARGET
sudo nmap -sS IP(terminado en .0/24)

Escaneo de puertos UDP

sudo nmap -sU $TARGET
sudo nmap -sU IP(terminado en .0/24)

Escaneo de los puertos Top 10

sudo nmap $TARGET --top-ports=10 

Starting Nmap 7.80 ( https://nmap.org ) at 2020-06-15 15:36 CEST
Nmap scan report for 10.129.2.28
Host is up (0.021s latency).

PORT     STATE    SERVICE
21/tcp   closed   ftp
22/tcp   open     ssh
23/tcp   closed   telnet
25/tcp   open     smtp
80/tcp   open     http
110/tcp  open     pop3
139/tcp  filtered netbios-ssn
443/tcp  closed   https
445/tcp  filtered microsoft-ds
3389/tcp closed   ms-wbt-server
MAC Address: DE:AD:00:00:BE:EF (Intel Corporate)

Nmap done: 1 IP address (1 host up) scanned in 1.44 seconds

Para los Top 100 es igual pero con el parámetro -F

sudo nmap $TARGET -F

Escaneo de servicios

Es la técnica de escaneo más intrusiva

sudo nmap -p- -sV $TARGET
sudo nmap -sV $TARGET -p 80

Enumeración básica de servicios

sudo nmap -sCV -p 22,80 $TARGET -oN targeted 

Escaneo completo con identificación de servicios

sudo nmap -sV -sC -p- $TARGET
sudo nmap -sC -sS -sV -T5 $TARGET # El -T5 aumenta la velocidad de escaneo

Generación de informe

sudo nmap -v --reason -sV -oX servicios.xml --webxml $TARGET

A partir de un xml podríamos usar la herramienta xsltproc para generar un html visual, para abrirlo desde un navegador:

xsltproc target.xml -o target.html

SMB Enumeration

Sirve para encontrar carpetas y archivos compartidos. Trabaja en los puertos 139 y 445

sudo nmap -v -sS -p 139,445 $TARGET

• Ver scripts de tareas automatizadas:

cd /usr/share/nmap/scripts -> ls

• Añadir filtro dentro de la carpeta:

ls smb*

• Ejecutar un script en concreto:

sudo nmap -v -sS -p 139,445 --script=SCRIPT $TARGET

SNMP Enumeration

Suele ser vulnerable

• Sirve para ganar datos de acceso a la configuración de un sistema

• Trabaja en el puerto 161

sudo nmap -v -sS -p 161 $TARGET

# Ver los scripts para snmp: 
cd /usr/share/nmap/scripts -> ls snmp*

Listado SMB

smbclient -N -L \\\\10.129.42.253         # Listado SMB
smbclient \\\\10.129.42.253\\users        # Acceso por SMB
smbclient -U bob \\\\10.129.42.253\\users # Acceso con usuario

Identificar bases de datos MySQL

sudo nmap -sS -p 3306 IP-TARGET.0/24
# El puerto 3306 es el de la base de datos MySQL

Identificación de bases de datos en un red

Nmap Automator

GitHub - 21y4d/nmapAutomator: A script that you can run in the background!GitHub

Script automático de escaneo con nmap. Es muy útil y ampliamente utilizado en pentesting, ya que podemos configurar distintas opciones y nos devuelve un resultado muy visual.

git clone https://github.com/21y4d/nmapAutomator.git
cd nmapAutomator
./nmapAutomator.sh -H $TARGET -t <TYPE>

./nmapAutomator.sh -h

Usage: nmapAutomator.sh -H/--host <TARGET-IP> -t/--type <TYPE>
Optional: [-r/--remote <REMOTE MODE>] [-d/--dns <DNS SERVER>] [-o/--output <OUTPUT DIRECTORY>] [-s/--static-nmap <STATIC NMAP PATH>]

Scan Types:
	Network : Shows all live hosts in the host's network (~15 seconds)
	Port    : Shows all open ports (~15 seconds)
	Script  : Runs a script scan on found ports (~5 minutes)
	Full    : Runs a full range port scan, then runs a script scan on new ports (~5-10 minutes)
	UDP     : Runs a UDP scan "requires sudo" (~5 minutes)
	Vulns   : Runs CVE scan and nmap Vulns scan on all found ports (~5-15 minutes)
	Recon   : Suggests recon commands, then prompts to automatically run them
	All     : Runs all the scans (~20-30 minutes)

./nmapAutomator.sh -H $TARGET -t Vulns

Running a Vulns scan on 10.129.183.35
Host is likely running Windows

---------------------Starting Port Scan-----------------------

PORT     STATE SERVICE
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
3389/tcp open  ms-wbt-server
5000/tcp open  upnp

<----- SNIP ----->