{"id":12546,"date":"2019-10-14T10:49:30","date_gmt":"2019-10-14T08:49:30","guid":{"rendered":"https:\/\/www.viafirma.com\/blog-xnoccio\/?p=12546"},"modified":"2025-11-10T14:06:13","modified_gmt":"2025-11-10T13:06:13","slug":"identificacion-de-servicios-con-nmap","status":"publish","type":"post","link":"https:\/\/www.viafirma.com\/es\/identificacion-de-servicios-con-nmap\/","title":{"rendered":"Hacking \u00e9tico: identificaci\u00f3n de servicios con nmap"},"content":{"rendered":"\r\n

En el <\/em>anterior post de hacking \u00e9tico<\/em><\/a>, explicamos de forma somera diversas opciones para conseguir una enumeraci\u00f3n de direcciones IP y subdominios a la hora de realizar un proceso de ethical hacking. Si os gust\u00f3 aquello de \u201cesto es muy seguro porque qui\u00e9n va a saber que existe este subdominio\u201d (que aunque no os lo pod\u00e1is creer, es m\u00e1s habitual de lo que parece), no os perd\u00e1is c\u00f3mo acaba de mal el \u201cqui\u00e9n va a saber que pongo este servicio en este puerto con un n\u00famero tan raro\u201d\u2026 Vamos a hablar de identificaci\u00f3n de servicios con nmap<\/em>.<\/p>\r\n\r\n\r\n\r\n

<\/p>\r\n\r\n\r\n\r\n

En definitiva, en este post vamos a tratar de ver c\u00f3mo es posible realizar un inventario de puertos abiertos en una IP o rango de IP, e incluso identificar la tecnolog\u00eda que hay debajo de un puerto abierto, cuando ello es posible.<\/p>\r\n\r\n\r\n\r\n

B\u00e1sicamente, este post se va a centrar en el uso de una herramienta fant\u00e1stica e imprescindible, nmap<\/em><\/strong>. Aunque es una herramienta t\u00edpicamente usada en Linux (y por supuesto incluida dentro de la suite de referencia que utilizo en estos posts, Kali), se pueden encontrar ya compilaciones para otros sistemas operativos<\/a>.<\/p>\r\n\r\n\r\n\r\n

Antes de entrar en faena, queremos avisar de que nmap<\/em> es una herramienta compleja y completa, con una enorme cantidad de opciones, par\u00e1metros, etc.; este post no pretende ser un manual de uso de la herramienta, sino nuevamente una introducci\u00f3n a la misma para entender la identificaci\u00f3n de servicios como fase del ethical hacking<\/em> previa a la detecci\u00f3n de vulnerabilidades. Para conocer m\u00e1s sobre la herramienta, recomendamos la lectura de su manual en castellano<\/a>.<\/p>\r\n\r\n\r\n\r\n

La herramienta Open Source nmap<\/em> nos permite realizar escaneos de redes y puertos, pudiendo escanear un \u00fanico destino, un rango, una lista de IP\u2026 se basa en peticiones TCP, UDP, ICMP, SCTP, etc. e incorpora diversas t\u00e9cnicas de escaneo.<\/p>\r\n\r\n\r\n\r\n

Recomendamos en general refrescar algo de conocimiento sobre protocolos de transporte, por ejemplo recordando c\u00f3mo funciona el establecimiento de una conexi\u00f3n TCP con la negociaci\u00f3n en tres pasos: primero, llamada de tipo SYN desde el cliente a un puerto, respuesta RST si el puerto est\u00e1 cerrado o SYN-ACK si est\u00e1 abierto, y el ACK desde el cliente al servidor para completar el proceso. nmap se basar\u00e1 en este tipo de mensajes para determinar si un puerto est\u00e1 escuchando o no en el destino.<\/p>\r\n\r\n\r\n\r\n

En ocasiones esto no se puede utilizar, o es detectado por el servidor remoto, y existen otras alternativas para el escaneo.<\/p>\r\n\r\n\r\n\r\n

Sintaxis general y primer escaneo<\/h2>\r\n\r\n\r\n\r\n

Sintaxis general:<\/p>\r\n\r\n\r\n\r\n

\r\nnmap [  ...] [  ] {  }\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
A continuaci\u00f3n, procedemos a realizar el primer escaneo:<\/p>\r\n\r\n\r\n\r\n
Ejecutamos el comando:<\/p>\r\n\r\n\r\n\r\n
\r\nnmap 45.33.49.119\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
No estamos poniendo ning\u00fan tipo de sondeo, por lo que usa el sondeo por defecto, TCP SYN. nmap env\u00eda un SYN y asume que el puerto est\u00e1 abierto si recibe un SYN ACK. Tampoco hay ning\u00fan par\u00e1metro adicional de opciones, y como destino hay una \u00fanica IP. Este comando nos dar\u00e1 un resultado similar al siguiente:<\/p>\r\n\r\n\r\n\r\n
\r\nStarting Nmap 7.70 ( https:\/\/nmap.org ) at 2019-10-01 18:12 CEST\r\nNmap scan report for ack.nmap.org (45.33.49.119)\r\nHost is up (0.19s latency).\r\nNot shown: 993 filtered ports\r\nPORT      STATE  SERVICE\r\n22\/tcp    open   ssh\r\n25\/tcp    open   smtp\r\n70\/tcp    closed gopher\r\n80\/tcp    open   http\r\n113\/tcp   closed ident\r\n443\/tcp   open   https\r\n31337\/tcp closed Elite\r\n\r\nNmap done: 1 IP address (1 host up) scanned in 10.86 seconds\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
Devolvi\u00e9ndonos en pocos segundos un listado de puertos abiertos en dicha IP<\/a>, incluyendo un SSH, un servidor de correo SMTP, un servidor web, y un posible back orifice.<\/p>\r\n\r\n\r\n\r\n
En muchas ocasiones simplemente esto ya es un primer punto de an\u00e1lisis aunque, por ejemplo, el software que haya detr\u00e1s de un servidor FTP, SSH, etc., est\u00e9 totalmente actualizado y no haya vulnerabilidades conocidas. Ya de primeras se podr\u00eda, por ejemplo, lanzar un ataque de fuerza bruta con diccionario sobre el SSH o FTP intentando acceder (hay una enorme cantidad de servidores de este tipo con credenciales por defecto o inseguras).<\/p>\r\n\r\n\r\n\r\n
Existen herramientas autom\u00e1ticas (bots) que b\u00e1sicamente est\u00e1n continuamente escaneando amplios rangos de IP buscando puertos abiertos reconocibles, por ejemplo de base de datos (MongoDB, MySQL, PostgreSQL, etc.), y cuando detectan un puerto as\u00ed abierto, autom\u00e1ticamente intentan un login con credenciales por defecto. Por ejemplo, en el caso de instalaciones t\u00edpicas LAMP \/ WAMP, un acceso root \/ al puerto mySQL. Y b\u00e1sicamente as\u00ed se han hackeado una enorme cantidad de bases de datos sin intervenci\u00f3n humana previa. Esto es viable incluso aunque lo tengamos abierto en otro puerto, dado que es posible identificar en muchos casos que eso que hay en el puerto 5555 \u201cpara despistar\u201d, por decir algo, es un mySQL a trav\u00e9s del fingerprint del servicio, como veremos m\u00e1s adelante.<\/p>\r\n\r\n\r\n\r\n
En resumen, es muy peligroso dejar credenciales por defecto en servidores web, routers, FTPs, SSHs, bases de datos\u2026 porque no hace falta que nadie os tenga man\u00eda, un bot lo har\u00e1.<\/p>\r\n\r\n\r\n\r\n
\"Escanear<\/figure>\r\n\r\n\r\n\r\n
Un primer par\u00e1metro<\/h2>\r\n\r\n\r\n\r\n
Si queremos tener un poco de informaci\u00f3n sobre c\u00f3mo ha obtenido nmap esta informaci\u00f3n, podemos aumentar las trazas con el par\u00e1metro -v (verbose) o -vv, donde podemos ver que nmap ha estado lanzando comandos SYN y en algunos casos recibiendo RESET (puerto cerrado), en otros SYN-ACK (puerto abierto) y en otros ning\u00fan tipo de respuesta (\u201cfiltered\u201d), lo cual nos puede hacer entender que un firewall est\u00e1 parando nuestra petici\u00f3n:<\/p>\r\n\r\n\r\n\r\n
\r\nPORT            STATE           SERVICE         REASON\r\n22\/tcp          open            ssh             syn-ack ttl 53\r\n25\/tcp          open            smtp            syn-ack ttl 53\r\n70\/tcp          closed          gopher          reset ttl 52\r\n80\/tcp          open            http            syn-ack ttl 53\r\n113\/tcp         closed          ident           reset ttl 52\r\n443\/tcp         open            https           syn-ack ttl 53\r\n31337\/tcp       closed          Elite           reset ttl 53\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
Aumentando el rango de IP a escanear<\/h2>\r\n\r\n\r\n\r\n
nmap<\/em> nos permite determinar rangos de IP a escanear de diversos modos (se recomienda analizar el manual o utilizar –help<\/em> para una informaci\u00f3n m\u00e1s completa). Por ejemplo:<\/p>\r\n\r\n\r\n\r\n
\r\nnmap 192.168.10.0\/24 (subred completa)\r\nnmap 192.168.10.1-20 (20 IPs)\r\nnmap 192.168.10.*\r\nnmap 192.168.10.1 192.168.10.2 192.168.10.3\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
O por ejemplo, imaginemos que hemos ido acumulando Ip desde nuestra enumeraci\u00f3n inicial, y tenemos un fichero con las distintas IP separadas por tabuladores o saltos de l\u00ednea (una IP o rango por l\u00ednea). Podemos cargar el fichero con el par\u00e1metro -iL<\/em> (input list) y realizar as\u00ed el escaneo de todo el inventario de IP. Tambi\u00e9n permite, por ejemplo, excluir algunas IP concretas con –exclude<\/em> o –excludefile<\/em>.<\/p>\r\n\r\n\r\n\r\n
Definiendo los puertos a escanear<\/h2>\r\n\r\n\r\n\r\n
Podemos definir manualmente los puertos que queremos escanear. Por ejemplo, si buscamos servidores web en puertos 80, 443 y 8080 en una subred podr\u00edamos hacerlo con el par\u00e1metro -p<\/em>:<\/p>\r\n\r\n\r\n\r\n
\r\nnmap -p 80,443,8080 192.168.10.0\/24\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
Tambi\u00e9n podemos pedirle a nmap que escanee los \u201cN\u201d (n\u00famero entero) puertos m\u00e1s comunes; por ejemplo, para escanear los 25 puertos m\u00e1s comunes en un rango de IP:<\/p>\r\n\r\n\r\n\r\n
\r\nnmap --top-ports 25 192.168.10.0\/24\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
Recibiendo una respuesta como esta:<\/p>\r\n\r\n\r\n\r\n
\r\nPORT     STATE     SERVICE\r\n21\/tcp    closed   ftp\r\n22\/tcp    open     ssh\r\n23\/tcp    closed   telnet\r\n25\/tcp    closed   smtp\r\n53\/tcp    open     domain\r\n80\/tcp    open     http\r\n110\/tcp   closed   pop3\r\n111\/tcp   open     rpcbind\r\n135\/tcp   closed   msrpc\r\n139\/tcp   open     netbios-ssn\r\n143\/tcp   closed   imap\r\n199\/tcp   closed   smux\r\n443\/tcp   closed   https\r\n445\/tcp   open     microsoft-ds\r\n587\/tcp   closed   submission\r\n993\/tcp   closed   imaps\r\n995\/tcp   closed   pop3s\r\n1025\/tcp  closed   NFS-or-IIS\r\n1720\/tcp  closed   h323q931\r\n1723\/tcp  closed   pptp\r\n3306\/tcp  closed   mysql\r\n3389\/tcp  closed   ms-wbt-server\r\n5900\/tcp  open     vnc\r\n8080\/tcp  closed   http-proxy\r\n8888\/tcp  closed   sun-answerbook\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
Podemos pedir que se escaneen todos los puertos TCP, UDP y SCTP (m\u00e1s lento) con el identificador -p-<\/em> :<\/p>\r\n\r\n\r\n\r\n
\r\nnmap -p- 192.168.10.0\/24\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
Identificando sistemas operativos y servicios<\/h2>\r\n\r\n\r\n\r\n
Como vemos, nmap nos permite detectar puertos que est\u00e1n escuchando en una IP o un rango. Posteriormente, veremos adem\u00e1s c\u00f3mo se pueden definir otras t\u00e9cnicas de sondeo. Adem\u00e1s, nmap nos permite intentar identificar qu\u00e9 tecnolog\u00eda (producto, versi\u00f3n, etc.) hay detr\u00e1s de un puerto abierto, o incluso el sistema operativo instalado en un servidor, con los par\u00e1metros -O<\/em> y -sV<\/em>. Esta detecci\u00f3n se basa en la \u201cfirma\u201d (fingerprint) de las respuestas que da el servicio a determinadas llamadas.<\/p>\r\n\r\n\r\n\r\n
\r\nnmap -O -sV 192.168.10.5\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
\r\nPORT         STATE         SERVICE       VERSION\r\n22\/tcp       open          ssh           OpenSSH 6.7p1 Raspbian 5+deb8u3 (protocol 2.0)\r\n53\/tcp       open          domain        ISC BIND 9.9.5 (Raspbian Linux 8.0 (Jessie based))\r\n80\/tcp       open          http          Apache httpd 2.4.10 ((Raspbian))\r\n111\/tcp      open          rpcbind       2-4 (RPC #100000)\r\n139\/tcp      open          netbios-ssn   Samba smbd 3.X - 4.X (workgroup: WORKGROUP)\r\n445\/tcp      open          netbios-ssn   Samba smbd 3.X - 4.X (workgroup: WORKGROUP)\r\n4567\/tcp     open          http          Jetty 9.4.8.v20171121\r\n5900\/tcp     open          vnc           RealVNC Enterprise 5.3 or later (protocol 5.0)\r\nMAC Address: B8:27:EB:CD:FE:89 (Raspberry Pi Foundation)\r\nDevice type: general purpose\r\nRunning: Linux 3.X|4.X\r\nOS CPE: cpe:\/o:linux:linux_kernel:3 cpe:\/o:linux:linux_kernel:4\r\nOS details: Linux 3.2 - 4.9\r\nNetwork Distance: 1 hop\r\nService Info: Host: RASPBERRYPI; OS: Linux; CPE: cpe:\/o:linux:linux_kernel\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
En este caso, no solamente sabemos que esta m\u00e1quina tiene determinados puertos abiertos. Tambi\u00e9n nos dice que es una Raspberry corriendo Raspbian (con lo que, por ejemplo, podr\u00edamos hacer una prueba de fuerza bruta con un usuario \u201cpi\u201d, que es el usuario por defecto), y las versiones de los distintos puertos que est\u00e1n escuchando, de forma que esta informaci\u00f3n puede ser utilizada para explotar vulnerabilidades sobre versiones no parcheadas, etc.<\/p>\r\n\r\n\r\n\r\n
Utilizando m\u00e1s t\u00e9cnicas de sondeo<\/h2>\r\n\r\n\r\n\r\n
Por defecto nmap utiliza SYN como t\u00e9cnica de sondeo. Es una t\u00e9cnica r\u00e1pida y poco intrusiva \/ detectable, pero en ocasiones , pero soporta en total 12 t\u00e9cnicas distintas que podemos definir como par\u00e1metros, tal como podemos ver en el manual de uso de la herramienta<\/a>.<\/p>\r\n\r\n\r\n\r\n
Por ejemplo, si queremos hacer un escaneo basado en llamadas UDP, podemos hacer una llamada del tipo:<\/p>\r\n\r\n\r\n\r\n
\r\nnmap  -sU 192.168.10.5\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
Buscando vulnerabilidades con nmap<\/em><\/h2>\r\n\r\n\r\n\r\n
Si bien existen herramientas m\u00e1s \u201cc\u00f3modas\u201d y espec\u00edficas para la b\u00fasqueda de vulnerabilidades, como por ejemplo Nessus, o suites como Metasploit que consolida diversas herramientas, nmap tambi\u00e9n nos permite realizar an\u00e1lisis de vulnerabilidades.<\/p>\r\n\r\n\r\n\r\n
Para ello, utiliza una serie de scripts Lua<\/em> que est\u00e1n ubicados en una ruta de nuestra m\u00e1quina (en el caso de Kali, en \/usr\/share\/nmap\/scripts\/ <\/em>) y que se pueden invocar con –script<\/em> o su equivalente -sC<\/em>.<\/p>\r\n\r\n\r\n\r\n
Los scripts pueden pertenecer a una o varias categor\u00edas, de forma que podemos pedir a nmap<\/em> que eval\u00fae, por ejemplo, todos los scripts de una categor\u00eda contra un host. Hay algunas categor\u00edas especialmente interesantes como \u201cvuln<\/em>\u201d (scripts dedicados a detectar vulnerabilidades en el destino), \u201cexploit<\/em>\u201d, etc.<\/p>\r\n\r\n\r\n\r\n
Por ejemplo, si queremos escanear los scripts de categor\u00eda vulnerabilidad contra un host:<\/p>\r\n\r\n\r\n\r\n
\r\nnmap --script vuln scanme.nmap.org\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
\r\nPORT       STATE      SERVICE\r\n22\/tcp     open       ssh\r\n80\/tcp     open       http\r\n| http-csrf: \r\n| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=scanme.nmap.org\r\n|   Found the following possible CSRF vulnerabilities: \r\n|     \r\n|     Path: http:\/\/scanme.nmap.org:80\/\r\n|     Form id: cse-search-box-sidebar\r\n|_    Form action: https:\/\/nmap.org\/search.html\r\n|http-dombased-xss: Couldn't find any DOM based XSS. | http-enum:  |   \/images\/: Potentially interesting directory w\/ listing on 'apache\/2.4.7 (ubuntu)' |  \/shared\/: Potentially interesting directory w\/ listing on 'apache\/2.4.7 (ubuntu)'\r\n| http-slowloris-check: \r\n|   VULNERABLE:\r\n|   Slowloris DOS attack\r\n|     State: LIKELY VULNERABLE\r\n|     IDs:  CVE:CVE-2007-6750\r\n|       Slowloris tries to keep many connections to the target web server open and hold them open as long as possible.  It accomplishes this by opening connections to the target web server and sending a partial request. By doing so, it starves the http server's resources causing Denial Of Service.\r\n|     Disclosure date: 2009-09-17\r\n|     References:\r\n|       https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2007-6750\r\n|_      http:\/\/ha.ckers.org\/slowloris\/\r\n|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.\r\n9929\/tcp  open  nping-echo\r\n31337\/tcp open  Elite\r\n<\/code><\/pre>\r\n\r\n\r\n\r\n
Como vemos, el script ha detectado una potencial vulnerabilidad basada en el ataque de denegaci\u00f3n de servicio de Slowloris<\/em>. Si analizamos los scripts que hay en la ruta mencionada anteriormente, vemos que precisamente hay uno que explota esta vulnerabilidad, llamado http-slowloris<\/em>. Si queremos m\u00e1s informaci\u00f3n sobre el script podemos lanzar el siguiente comando:<\/p>\r\n\r\n\r\n\r\n
nmap --script-help http-slowloris<\/code><\/pre>\r\n\r\n\r\n\r\n
Explic\u00e1ndonos c\u00f3mo funciona el script, c\u00f3mo lanzarlo (es posible hacerlo tambi\u00e9n con el propio nmap con –script<\/em> y –script-args<\/em>), etc. Podemos tambi\u00e9n obtener por ejemplo una descripci\u00f3n de todos los scripts que buscan vulnerabilidades:<\/p>\r\n\r\n\r\n\r\n
nmap --script-help vuln<\/code><\/pre>\r\n\r\n\r\n\r\n
Tambi\u00e9n podemos por ejemplo lanzar todos los scripts de un tipo determinado. Por ejemplo, si queremos escanear vulnerabilidades sobre protocolo SMB en un host determinado:<\/p>\r\n\r\n\r\n\r\n
nmap --script smb-* 192.168.10.5<\/code><\/pre>\r\n\r\n\r\n\r\n
Tambi\u00e9n podemos, por ejemplo, evaluar una vulnerabilidad sobre toda nuestra red, escogiendo un script concreto contra un rango. El par\u00e1metro –script<\/p>\r\n\r\n\r\n\r\n
nmap --script-help vuln<\/code><\/pre>\r\n\r\n\r\n\r\n
nmap --script<\/code><\/pre>\r\n\r\n\r\n\r\n
En definitiva, nmap<\/em> incluye incluso opciones interesantes para evaluar vulnerabilidades e incluso lanzar exploits<\/em>, si bien existen otras herramientas utilizadas com\u00fanmente para este prop\u00f3sito.<\/p>\r\n\r\n\r\n\r\n
\"Buscando<\/figure>\r\n\r\n\r\n\r\n
Otras opciones interesantes<\/h2>\r\n\r\n\r\n\r\n
Como hemos comentado, nmap<\/em> tiene much\u00edsimas opciones y es imposible tratar de cubrir ni siquiera un peque\u00f1o porcentaje en un post. De hecho, existe un libro oficial de nmap<\/em> de casi 500 p\u00e1ginas\u2026 pero en todo caso intentamos comentar aqu\u00ed algunas que parecen interesantes.<\/p>\r\n\r\n\r\n\r\n