Glosario táctico
Diccionario operativo de pentesting orientado a la auditoría profesional y al examen OSCP. No es la definición de Wikipedia: es la radiografía de cada concepto bajo presión. Cada término tiene su propia ficha — usa Cmd/Ctrl + K para saltar a cualquiera al instante.Cómo leer cada término
Active Directory · Kerberos & NTLM
- Kerberos — Es el sistema de tickets del Directorio Activo.
- NTLM (NT LAN Manager) — El protocolo viejo de autenticación de Windows.
- Pass-The-Hash (PtH) — Has volcado un hash NTLM (vía LSASS dump, Mimikatz, Responder).
- Kerberoasting — Pides un ticket TGS para una cuenta de servicio (SPN).
Active Directory · Vectores avanzados
- AS-REP Roasting — Cuentas con DONT_REQUIRE_PREAUTH envían el AS-REP sin pre-autenticación.
- Constrained Delegation (KCD) — Una cuenta con msDS-AllowedToDelegateTo puede suplantar a cualquier usuario hacia un servicio listado.
- Resource-Based Constrained Delegation (RBCD) — Si controlas un computer object con msDS-AllowedToActOnBehalfOfOtherIdentity modificable, escribes el SID del atacante en ese atributo y suplantas a cualquier usuario contra el computer.
- DCSync — El protocolo de replicación de DCs (DRSUAPI) permite pedir hashes de cualquier cuenta si tienes los permisos Replicating Directory Changes.
- DCShadow — Te registras temporalmente como un DC malicioso, inyectas cambios en AD (añadir usuario a Domain Admins, modificar SIDHistory) y desapareces.
- Golden Ticket — Con el hash de krbtgt forjas un TGT con cualquier usuario y grupo.
- Silver Ticket — Con el hash de una cuenta de servicio forjas un TGS específico para ese servicio.
- Diamond Ticket — Variante de Golden que modifica un TGT real emitido por el DC en lugar de forjarlo desde cero.
- SeImpersonate Privilege (Potato chain) — IIS, MSSQL y muchas service accounts tienen SeImpersonatePrivilege.
- Shadow Credentials (msDS-KeyCredentialLink) — Si tienes GenericWrite o AddKeyCredentialLink sobre un usuario/computer, añades una clave pública en msDS-KeyCredentialLink y autenticas con PKINIT como ese principal.
- PrintNightmare (CVE-2021-34527) — El servicio Print Spooler permite cargar drivers remotos via RPC.
- ZeroLogon (CVE-2020-1472) — Bug criptográfico en Netlogon: AES-CFB8 con IV todo-ceros permite autenticarte como cualquier computer del dominio, incluido el DC, sin credenciales.
- PetitPotam (CVE-2021-36942) — RPC EFSRPC (Encrypting File System Remote Protocol) permite forzar a un computer (DC incluido) a autenticarse contra una IP arbitraria.
- NoPac (CVE-2021-42278 / CVE-2021-42287) — Bug doble: (1) un usuario raso puede crear una machine account y renombrar sAMAccountName a uno existente (DC01 y emite ticket como el DC.
- LAPS abuse — LAPS rota la password de admin local de cada máquina y la guarda en ms-Mcs-AdmPwd (LAPS legacy) o msLAPS-Password (Windows LAPS 2023+).
- UAC Bypass (fodhelper / computerdefaults / IFileOperation) — Binarios de Windows con autoElevate=true cargan una ruta de registro sin validar (HKCU\Software\Classes\ms-settings\Shell\Open\command).
Web · OWASP Top 10
- LFI (Local File Inclusion) — La aplicación incluye un archivo del servidor en función de un parámetro de la URL.
- SQL Injection (SQLi) — La consulta a la base de datos se construye concatenando texto del usuario.
- IDOR (Insecure Direct Object Reference) — La app expone IDs de objetos en la URL o el body sin verificar que el usuario tiene derecho a verlos.
- Mass Assignment — El framework mapea automáticamente el JSON entrante a campos del modelo en BD.
- Type Confusion (en APIs) — La API espera un string.
Web · Vectores avanzados
- SSRF (Server-Side Request Forgery) — El backend hace una petición HTTP que tú controlas (parámetro url=, webhook, importador remoto).
- XXE (XML External Entity) — Parser XML que resuelve entidades externas.
- SSTI (Server-Side Template Injection) — La aplicación pasa input del usuario a un motor de templates (Jinja2, Twig, Freemarker, Velocity) sin escape.
- Prototype Pollution — En JavaScript, modificas Object.prototype y la propiedad aparece en TODOS los objetos del proceso.
- JWT — none algorithm + key confusion — JWT con alg: “none” es un token sin firma.
- Race Conditions — Single-Packet Attack — Técnica de James Kettle (PortSwigger 2023): completas múltiples HTTP/2 requests con un único paquete TCP, eliminando network jitter.
- HTTP Request Smuggling (CL.TE / TE.CL / CL.0 / H2.X) — Frontend y backend interpretan el largo del request HTTP de forma distinta.
- CORS Misconfiguration — Access-Control-Allow-Origin reflejando el header Origin del atacante + Access-Control-Allow-Credentials: true = cualquier dominio puede leer respuestas autenticadas de la víctima.
- OAuth / OIDC misconfig — redirect_uri validado por substring → https://app.com/callback?attacker=evil.com o redirect_uri=https://attacker.evil.com/app.com/.
- GraphQL — Introspection + Batching abuse — Endpoint GraphQL con introspection abierto (__schema query) te entrega el schema completo: mutaciones expuestas, tipos internos, comentarios.
- Web Cache Poisoning — Headers no incluidos en la cache key (User-Agent, X-Forwarded-Host) sí afectan el body de la respuesta.
- NoSQL Injection (MongoDB / Elastic) — Backend pasa input a MongoDB sin sanitizar; en lugar de string envías un objeto operador.
- CSRF + SameSite Lax bypass — Cookies con SameSite=Lax (default desde Chrome 80) se envían en navegación top-level GET pero no en POST cross-site.
- Open Redirect → SSO chain — Endpoint de redirect que no valida destino: https://app.com/redirect?to=https://attacker.tld.
Linux · Privilege Escalation
- SUID Binary + PATH Hijacking — Encuentras un programa SUID (corre como root) mal programado: llama a ls en lugar de /bin/ls.
- Sudo misconfig (NOPASSWD) — /etc/sudoers permite a un usuario ejecutar un binario como root sin contraseña.
- Capabilities (
getcap/cap_*) — Capabilities son SUID granular. - Cron Jobs PATH abuse / wildcard — Cron de root ejecutando script con PATH corto o sin path absoluto.
- Kernel exploits — Dirty Pipe (CVE-2022-0847) — Bug en pipe_buffer.flags no inicializado en kernel 5.8-5.16.10.
- PwnKit (CVE-2021-4034) — Bug en pkexec (polkit) que permitía manipulación de variables de entorno → ejecución de variable como comando con SUID root.
- Docker socket abuse — /var/run/docker.sock montado dentro del container o en host con permisos de grupo docker para usuario raso.
- LD_PRELOAD / LD_LIBRARY_PATH hijacking — sudo -l permite ejecutar programa con env_keep+=“LD_PRELOAD”.
- SUDO Baron Samedit (CVE-2021-3156) — Heap-based buffer overflow en sudo (todas las versiones desde 1.8.2 hasta 1.9.5p1).
- NFS no_root_squash — Servidor NFS con export no_root_squash.
- lxd / lxc group membership — Usuario en grupo lxd o lxc puede crear/iniciar containers privilegiados sin sudo.
Reconocimiento
- SMB Null Sessions — Conectarte a un share SMB sin autenticación.
- SSL Certificate Enumeration — Lees los metadatos del certificado SSL/TLS.
- LLMNR / NBT-NS Poisoning (Responder) — Cuando Windows no resuelve un nombre por DNS, hace broadcast LLMNR / NBT-NS preguntando “¿alguien sabe dónde está SHARE\fileserver?”.
- mitm6 — IPv6 takeover — Windows hace DHCPv6 al boot incluso en redes sin IPv6.
- SMB Signing not required — Si SMB Signing no es obligatorio, cualquier hash NTLM capturado se puede relayar a SMB para ejecutar comandos en el target.
- SNMP enumeration — UDP/161 con community string public o private (default tristemente común en routers, switches, impresoras antiguas) da dump completo de configuración: rutas, ARP table, interfaces, a veces credenciales (Cisco config con TACACS keys).
- IPv6 takeover (mitm6 + ntlmrelayx) — Cubierto en mitm6.
Post-explotación
- Mimikatz — La navaja suiza de Windows post-exploit.
- BloodHound — Mapas de relaciones del Directorio Activo.
Cloud (AWS · Azure · GCP)
- IMDSv1 vs IMDSv2 (AWS) — IMDS (Instance Metadata Service) en 169.254.169.254 entrega credenciales temporales de la EC2.
- Pacu (AWS exploitation framework) — Framework de Rhino Security Labs para post-explotación AWS.
- Entra ID Device Code Phishing — Microsoft device-code flow está pensado para TVs y dispositivos sin teclado.
- Managed Identity abuse (Azure) — VM/Function/App Service con Managed Identity (MI) puede pedir token al endpoint http://169.254.169.254/metadata/identity/oauth2/token con header Metadata: true.
- Pass-the-PRT (Primary Refresh Token) — El PRT en Windows es como un TGT pero para Entra ID.
- ConfusedFunction (GCP, Tenable 2024) — Crear/actualizar Cloud Function adjunta el SA <projnum>@cloudbuild.gserviceaccount.com con rol Editor por defecto.
- S3 bucket takeover via dangling DNS — Un CNAME apunta a un bucket S3 que ya no existe (old.empresa.com → empresa-old.s3.amazonaws.com).
Container & Kubernetes
- Container escape (root + cap_sys_admin) — Container con —privileged o cap_sys_admin puede montar el filesystem del host (mount /dev/sda1 /mnt), acceder al kernel, escapar via release_agent abuse, etc.
- Docker socket mount escape — Container con /var/run/docker.sock montado puede crear nuevos containers vía API.
- Kubelet API abuse (puerto 10250) — El Kubelet expone HTTP API en TCP/10250 para pods, exec, run, attach, portForward, containerLogs.
- etcd unauthenticated — etcd guarda todo el estado del cluster incluyendo secrets en texto plano (a menos que haya encryption at rest).
- RBAC privilege escalation (impersonate, escalate, bind) — Verbos peligrosos en RBAC: - impersonate → actuar como otro user/group/SA.
Red Team & Evasión
- AMSI bypass — AMSI inspecciona scripts (PowerShell, VBScript, JS) y .NET assemblies en runtime.
- ETW patching — Event Tracing for Windows (ETW) es la telemetría que usan EDRs.
- BYOVD (Bring Your Own Vulnerable Driver) — Cargas un driver firmado pero vulnerable (RTCore64.sys, dbutil_2_3.sys, procexp152.sys, gdrv.sys) para obtener Ring 0.
- Cobalt Strike / Sliver / Mythic / Havoc — Frameworks C2 profesionales: - Cobalt Strike ($5.9k, leaks frecuentes).
- Process Hollowing — Crear proceso suspended (CreateProcess con CREATE_SUSPENDED), unmap su imagen original, escribir tu shellcode/PE en su lugar, ResumeThread.
- Indirect / Direct Syscalls — En lugar de llamar NtAllocateVirtualMemory desde ntdll.dll (donde EDR puede haber colocado userland hooks), ejecutas el syscall directamente con syscall instruction.
Phishing & Social
- Evilginx2 — MFA bypass — Reverse proxy phishing.
- GoPhish — Framework open-source para campañas de phishing profesionales.
- Browser-in-the-Browser (BiTB) — Técnica de mr.d0x (2022).
- Consent Phishing (OAuth abuse) — En lugar de robar credentials, registras una app maliciosa en el tenant del atacante y phisheas a la víctima para que dé consent a la app.
OSINT
- Shodan / Censys dorking — Buscadores de dispositivos conectados.
- crt.sh — Certificate Transparency — Cualquier cert SSL emitido se publica en logs públicos CT.
- Trufflehog / Gitleaks / Gato-X — Escáneres de secrets en repos: - Trufflehog verifica que el secret está VIVO online (mejor para bug bounty real).
WAF Evasion
- JA3/JA4 Fingerprint — Tu máquina y el servidor negocian la conexión HTTPS con un saludo (Client Hello) que incluye los algoritmos de cifrado y extensiones soportadas.
- Client Hints (sec-ch-ua) — Los navegadores modernos (Chromium) envían un bloque de cabeceras sec-ch-ua-* que describen la marca, versión, plataforma.
Crypto práctica
- Padding Oracle attack — CBC mode con un servicio que te dice si el padding es válido o no (oracle binario).
- Hash Cracking — hashcat — hashcat GPU es el estándar para crackear hashes offline.
- ECB mode cipher reuse — ECB cifra cada bloque por separado.
Pwn / Exploit dev
- Stack Buffer Overflow + ROP — Sobrescribes el stack más allá del buffer local hasta llegar al return address.
- ASLR / DEP bypass — ASLR (Address Space Layout Randomization) randomiza ubicaciones en memoria.
- Format String vulnerability — printf(user_input) sin format string.
Defensa
- EDR (Endpoint Detection & Response) — Agente endpoint que combina kernel callbacks + ETW + AMSI + signature + behavioral ML para detectar ofensiva (no sólo malware estático).
- SIEM (Splunk / Sentinel / ELK) — Plataforma centralizadora de logs.
- Sigma rules — Lenguaje YAML genérico para reglas SIEM, portable entre Splunk, Sentinel, ELK.
- YARA rules — Lenguaje de pattern matching para identificar malware/artefactos en archivos y memoria.
- Honeypots / Honeytokens / Canarytokens — Recursos cebo.
Web3 / Blockchain
- Reentrancy — Smart contract llama a external_contract.call() antes de actualizar su estado.
- Flash Loan attacks — Aave/dYdX/Compound prestan millones SIN colateral si devuelves en la misma transacción.
- Permit2 / eth_sign phishing — Wallet drains modernos no envían tx que pidan gas — piden firmar mensajes off-chain (eth_sign, signTypedData_v4 para Permit2 de Uniswap).
Frameworks & Estándares
- CVSS v3.1 vs v4.0 — Common Vulnerability Scoring System.
- EPSS (Exploit Prediction Scoring System) — Modelo ML del FIRST que estima la probabilidad de que una CVE sea explotada en los próximos 30 días.
- KEV (Known Exploited Vulnerabilities — CISA) — Catálogo público de CISA con CVEs confirmados explotados en el wild.
- CWE Top 25 — Lista MITRE de las 25 weakness classes más peligrosas, basada en datos reales de CVEs.
- STRIDE / PASTA threat modeling — Frameworks de threat modeling.
- NIS2 (Directiva UE 2022/2555) — Sucesora de NIS1.
- DORA (Reglamento UE 2022/2554) — Digital Operational Resilience Act.