# Nmap {% hint style="danger" %} **Nota:** Este tipo de búsquedas son muy invasivas, ya que hacen muchas peticiones al servidor del objetivo, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo {% endhint %} ## Nmap {% embed url="" %} Nmap es una de las herramientas de seguridad más populares y potentes de la actualidad, y se utiliza en pruebas de penetración, hacking ético, administración de redes y otros propósitos relacionados con la seguridad de la red. Viene instalado por defecto en Kali Linux. ## Video completo de la herramienta {% embed url="" %} ## Cheatsheet

Comando	Descripción
`nmap <host>`	Escaneo de host simple
`nmap <start_ip>-<end_ip>`	Escaneo de rangos de direcciones IP
`nmap -p <port_range> <host>`	Escaneo de un rango de puertos
`nmap -p- <host>`	Escaneo de todos los puertos
`nmap -p 1-1000 <host>`	Escaneo de los 1000 puertos más comunes
`nmap -sS <host>`	Escaneo sigiloso (no genera registros en destino)
`nmap -sV <host>`	Escaneo de servicios y versiones
`nmap -T5 -F <host>`	Escaneo rápido sin resolución de DNS
`nmap -O <host>`	Escaneo de sistemas operativos
`nmap --script vuln <host>`	Escaneo de scripts de vulnerabilidades
`nmap --script <script_name> <host>`	Escaneo de scripts específicos
`nmap -sU <host>`	Escaneo UDP
`nmap -sn <network>`	Escaneo de hosts vivos en una red
`nmap -oX output.xml <host>`	Guardar resultados en formato XML

## Estados de los puertos Hay un total de 6 estados diferentes para un puerto escaneado que podemos obtener:


Estado	Descripción
`open`	Esto indica que se ha establecido la conexión con el puerto escaneado. Estas conexiones pueden ser conexiones TCP, UDP o SCTP.
`closed`	Cuando el puerto se muestra como cerrado, el protocolo TCP indica que el paquete que recibimos contiene un indicador RST. Este método de escaneo también se puede utilizar para determinar si nuestro objetivo está vivo o no.
`filtered`	Nmap no puede identificar correctamente si el puerto escaneado está abierto o cerrado porque no se devuelve ninguna respuesta del destino para el puerto o recibimos un código de error del destino.
`unfiltered`	Este estado de un puerto solo ocurre durante el escaneo TCP-ACK y significa que el puerto es accesible, pero no se puede determinar si está abierto o cerrado.
`open\|filtered`	Si no obtenemos respuesta para un puerto específico, Nmap lo establecerá en ese estado. Esto indica que un firewall o un filtro de paquetes pueden proteger el puerto.
`closed\|filtered`	Este estado solo ocurre en los escaneos inactivos de ID de IP e indica que fue imposible determinar si el puerto escaneado está cerrado o filtrado por un firewall.

## Definir el target en una variable ```bash export TARGET="githubapp.com" ``` ## Reconocimiento de Hosts ```bash sudo nmap -sn $TARGET ``` ```bash sudo nmap 10.129.2.0/24 -sn -oA tnet | grep for | cut -d " " -f5 10.129.2.4 10.129.2.10 10.129.2.11 10.129.2.18 10.129.2.19 10.129.2.20 10.129.2.28 ```

Opciones	Descripción
`10.129.2.0/24`	Rango de red objetivo.
`-sn`	Desactiva el escaneo de puertos.
`-oA tnet`	Almacena los resultados en todos los formatos comenzando con el nombre 'tnet'.

## Escanear lista de IP Durante una prueba de penetración interna, no es raro que se nos proporcione una lista de IP con los hosts que necesitamos probar. Nmap también nos da la opción de trabajar con listas y leer los hosts de esta lista en lugar de definirlos o escribirlos manualmente. Una lista de este tipo podría verse así: ```bash cat hosts.lst 10.129.2.4 10.129.2.10 10.129.2.11 10.129.2.18 10.129.2.19 10.129.2.20 10.129.2.28 ``` ```bash sudo nmap -sn -oA tnet -iL hosts.lst | grep for | cut -d " " -f5 10.129.2.18 10.129.2.19 10.129.2.20 ```

Opciones	Descripción
`-iL hosts.lst`	Realiza análisis definidos contra objetivos en la lista `hosts.lst`

## Descubrir todos los nodos de la red ```bash sudo nmap IP-TARGET # el último valor cambiar por 0/24 sudo nmap 198.164.1.0/24 ``` ## Descubrir puertos abiertos ```bash sudo nmap -p- --open -sS --min-rate 5000 -v -n $TARGET ``` ## Identificación del sistema operativo ```bash sudo nmap -A -V $TARGET sudo nmap -v -O $TARGET ``` ## Escaneo de puertos TCP ```bash sudo nmap -sS $TARGET sudo nmap -sS IP(terminado en .0/24) ``` ## Escaneo de puertos UDP ```bash sudo nmap -sU $TARGET sudo nmap -sU IP(terminado en .0/24) ``` ## Escaneo de los puertos Top 10 ```bash sudo nmap $TARGET --top-ports=10 Starting Nmap 7.80 ( https://nmap.org ) at 2020-06-15 15:36 CEST Nmap scan report for 10.129.2.28 Host is up (0.021s latency). PORT STATE SERVICE 21/tcp closed ftp 22/tcp open ssh 23/tcp closed telnet 25/tcp open smtp 80/tcp open http 110/tcp open pop3 139/tcp filtered netbios-ssn 443/tcp closed https 445/tcp filtered microsoft-ds 3389/tcp closed ms-wbt-server MAC Address: DE:AD:00:00:BE:EF (Intel Corporate) Nmap done: 1 IP address (1 host up) scanned in 1.44 seconds ``` Para los Top 100 es igual pero con el parámetro -F ```bash sudo nmap $TARGET -F ``` ## Escaneo de servicios {% hint style="danger" %} Es la técnica de escaneo más intrusiva {% endhint %} {% code overflow="wrap" %} ```bash sudo nmap -p- -sV $TARGET sudo nmap -sV $TARGET -p 80 ``` {% endcode %} ## Enumeración básica de servicios ```bash sudo nmap -sCV -p 22,80 $TARGET -oN targeted ``` ## Escaneo completo con identificación de servicios ```bash sudo nmap -sV -sC -p- $TARGET sudo nmap -sC -sS -sV -T5 $TARGET # El -T5 aumenta la velocidad de escaneo ``` ## Generación de informe ```bash sudo nmap -v --reason -sV -oX servicios.xml --webxml $TARGET ``` A partir de un xml podríamos usar la herramienta `xsltproc` para generar un html visual, para abrirlo desde un navegador: ```bash xsltproc target.xml -o target.html ``` ## SMB Enumeration Sirve para encontrar carpetas y archivos compartidos. Trabaja en los puertos 139 y 445 ```bash sudo nmap -v -sS -p 139,445 $TARGET ``` * Ver scripts de tareas automatizadas: ```bash cd /usr/share/nmap/scripts -> ls ``` * Añadir filtro dentro de la carpeta: ```bash ls smb* ``` * Ejecutar un script en concreto: ```bash sudo nmap -v -sS -p 139,445 --script=SCRIPT $TARGET ``` ## SNMP Enumeration {% hint style="info" %} Suele ser vulnerable {% endhint %} * Sirve para ganar datos de acceso a la configuración de un sistema * Trabaja en el puerto 161 {% code overflow="wrap" %} ```bash sudo nmap -v -sS -p 161 $TARGET # Ver los scripts para snmp: cd /usr/share/nmap/scripts -> ls snmp* ``` {% endcode %} ## Listado SMB ```python smbclient -N -L \\\\10.129.42.253 # Listado SMB smbclient \\\\10.129.42.253\\users # Acceso por SMB smbclient -U bob \\\\10.129.42.253\\users # Acceso con usuario ``` ## Identificar bases de datos MySQL

sudo nmap -sS -p 3306 IP-TARGET.0/24
# El puerto 3306 es el de la base de datos MySQL

Identificación de bases de datos en un red

## Nmap Automator {% embed url="" %} Script automático de escaneo con nmap. Es muy útil y ampliamente utilizado en pentesting, ya que podemos configurar distintas opciones y nos devuelve un resultado muy visual. ```bash git clone https://github.com/21y4d/nmapAutomator.git cd nmapAutomator ./nmapAutomator.sh -H $TARGET -t ``` ```shell-session ./nmapAutomator.sh -h Usage: nmapAutomator.sh -H/--host -t/--type Optional: [-r/--remote ] [-d/--dns ] [-o/--output ] [-s/--static-nmap ] Scan Types: Network : Shows all live hosts in the host's network (~15 seconds) Port : Shows all open ports (~15 seconds) Script : Runs a script scan on found ports (~5 minutes) Full : Runs a full range port scan, then runs a script scan on new ports (~5-10 minutes) UDP : Runs a UDP scan "requires sudo" (~5 minutes) Vulns : Runs CVE scan and nmap Vulns scan on all found ports (~5-15 minutes) Recon : Suggests recon commands, then prompts to automatically run them All : Runs all the scans (~20-30 minutes) ``` ```bash ./nmapAutomator.sh -H $TARGET -t Vulns Running a Vulns scan on 10.129.183.35 Host is likely running Windows ---------------------Starting Port Scan----------------------- PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 3389/tcp open ms-wbt-server 5000/tcp open upnp <----- SNIP -----> ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://afsh4ck.gitbook.io/ethical-hacking-cheatsheet/recopilacion-de-informacion/recopilacion-de-informacion/recopilacion-activa/nmap.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.