Skip to content

Has comprometido un host con una segunda interfaz de red. ¿Cómo pivotas?

Respuesta breve

Usa el host comprometido como relé hacia la subred inalcanzable. Configura una redirección de puerto para un único servicio, o un proxy SOCKS dinámico (SSH -D o chisel) y enruta tus herramientas a través de él con proxychains, para que tu máquina atacante alcance los hosts internos por el pivote.

Muchos entornos colocan los objetivos reales en una subred interna a la que tu máquina atacante no puede enrutar. Un host a caballo entre ambas redes (una máquina «dual-homed») se convierte en tu puente. Pivotar es usar ese puente para retransmitir tu tráfico hacia la red oculta.

Las principales técnicas

  • La redirección de puerto local mapea un único servicio interno a un puerto de tu máquina atacante; útil cuando necesitas un servicio concreto (p. ej. una aplicación web o base de datos interna).
  • La redirección de puerto remota empuja un puerto desde el objetivo hacia ti, útil cuando el pivote no puede alcanzar tu máquina directamente pero tú lo alcanzaste a él.
  • La redirección dinámica (proxy SOCKS) es el caballo de batalla: ssh -D 1080 user@pivot (o chisel cuando SSH no está disponible) abre un proxy SOCKS capaz de alcanzar cualquier host y puerto interno a través del pivote.

Enrutar tus herramientas

Configura proxychains para que apunte al puerto SOCKS y luego antepón tus herramientas: proxychains nmap, proxychains curl, proxychains crackmapexec. El tráfico ahora se tuneliza a través del host comprometido hacia la red interna.

Salvedades de las herramientas

Los proxies SOCKS solo transportan TCP, así que los escaneos connect (-sT) funcionan pero los escaneos SYN y el ICMP no: ajusta nmap en consecuencia y escanea solo los puertos que te interesan, ya que los escaneos a través de proxy son lentos. chisel es valiosísimo cuando el pivote no tiene servidor SSH, al darte la misma capacidad SOCKS sobre un canal compatible con HTTP que a menudo supera el filtrado de salida.

Por qué importa

Sin pivoting, toda la subred interna —donde suelen vivir los objetivos de alto valor y el controlador de dominio— es invisible. La técnica convierte un único punto de apoyo en alcance sobre toda una red.

Qué buscan los entrevistadores

Una distinción clara entre redirección local, remota y dinámica, nombrar SSH -D/chisel y proxychains, y la conciencia de la limitación SOCKS solo-TCP que rompe el uso ingenuo de nmap. Esto es una señal de seniority, porque exige una sólida comprensión de redes.

Posibles preguntas de seguimiento

  • ¿Cuál es la diferencia entre redirección de puerto local, remota y dinámica?
  • ¿Por qué nmap se comporta de forma extraña a través de un proxy SOCKS y cómo te adaptas?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.