Package Detective: Investiga el Software Instalado

• dpkg -l
  Lista todos los paquetes instalados en sistemas basados en Debian.
• rpm -qa
  Muestra todos los paquetes instalados en sistemas basados en Red Hat.
• apt list --installed
  Alternativa para ver los paquetes instalados en distribuciones basadas en Debian.
• cat /var/log/dpkg.log | tail
  Revisa el log de instalaciones de paquetes en sistemas Debian.
• rpm -qi <paquete>
  Proporciona información detallada de un paquete específico.
• yum list installed
  Muestra la lista de paquetes instalados en sistemas basados en Red Hat usando yum.

---

File System Frenzy: Mapea Tus Montajes y Particiones

• df -h
  Muestra el uso de disco en formato legible.
• mount | column -t
  Lista los sistemas de archivos montados de forma ordenada.
• lsblk
  Presenta una vista de los dispositivos de bloque y sus particiones.
• cat /etc/fstab
  Revisa la configuración de montaje permanente.
• findmnt -o TARGET,SOURCE,FSTYPE,OPTIONS
  Muestra los puntos de montaje y sus opciones.
• blkid
  Identifica las particiones y sus tipos de sistema de archivos.

---

Log and Trace: Sigue las Huellas del Sistema

• tail -n 50 /var/log/syslog
  Muestra las últimas 50 líneas del log del sistema.
• less /var/log/auth.log
  Permite revisar los eventos de autenticación.
• cat /var/log/messages
  Visualiza mensajes generales del sistema.
• journalctl -xe
  Muestra logs extendidos y con mayor detalle en sistemas con systemd.
• grep -i error /var/log/syslog
  Filtra y muestra errores del log del sistema.
• sudo ausearch -m AVC -ts today
  Busca eventos relacionados con controles de acceso en los logs de auditd.

---

Secret Files Search: Encuentra Información Sensible

• find / -name "*.conf" 2>/dev/null
  Busca archivos de configuración en el sistema.
• find / -name "*pass*" 2>/dev/null
  Localiza archivos que contengan la palabra “pass”.
• grep -R "password" /etc 2>/dev/null
  Busca cadenas que contengan “password” en el directorio /etc.
• find / -type f -exec grep -l "root" {} \; 2>/dev/null
  Encuentra archivos que contengan la palabra “root”.
• sudo grep -R "secret" / 2>/dev/null
  Busca información sensible en todo el sistema.
• locate passwd
  Utiliza la base de datos de archivos para encontrar archivos relacionados con contraseñas (requiere actualización de updatedb).

---

Servicios en Escena: Revisa los Servicios Activos

• systemctl list-units --type=service --state=running
  Lista los servicios activos en el sistema.
• service --status-all
  Muestra el estado de todos los servicios (puede requerir privilegios).
• ps aux | grep service
  Busca procesos relacionados con servicios.
• sudo systemctl status <servicio>
  Revisa el estado de un servicio específico.
• netstat -tulpn | grep LISTEN
  Muestra puertos en escucha y los servicios asociados.
• lsof -i -P -n | grep LISTEN
  Lista procesos y puertos abiertos de forma detallada.

---

Permisos en Acción: Explora Directorios y Archivos Vulnerables

• ls -ld /tmp
  Muestra los permisos y propiedades del directorio /tmp.
• ls -la /var/www
  Revisa permisos en el directorio de sitios web.
• find / -type d -perm -o+w 2>/dev/null
  Busca directorios que sean escribibles para todos.
• sudo find / -type f -perm -o+w -exec ls -la {} \; 2>/dev/null
  Encuentra archivos con permisos de escritura global.
• find / -type d -perm -o+w -exec ls -ld {} \; 2>/dev/null
  Identifica directorios con permisos vulnerables.
• sudo stat /etc/shadow
  Revisa los detalles y permisos del archivo de contraseñas.

---

Procesos en Foco: Domina la Gestión de Procesos

• ps aux
  Lista todos los procesos en ejecución.
• top
  Muestra los procesos activos en tiempo real.
• htop
  Alternativa interactiva (si está instalado).
• pstree -p
  Visualiza la jerarquía de procesos con sus IDs.
• sudo lsof -p <PID>
  Lista los archivos abiertos por un proceso específico.
• pidstat -p <PID>
  Monitorea el rendimiento de un proceso en particular.

---

Enlace y Configuración: Navega por el Sistema de Archivos

• ls -l /usr/bin
  Lista archivos en /usr/bin con detalles.
• file /usr/bin/ls
  Identifica el tipo de archivo del comando ls.
• readlink /usr/bin/python
  Muestra el destino de un enlace simbólico.
• find / -type l -exec ls -la {} \; 2>/dev/null
  Encuentra y lista todos los enlaces simbólicos.
• sudo find / -xtype l 2>/dev/null
  Busca enlaces simbólicos rotos en el sistema.
• stat /etc/passwd
  Proporciona información detallada sobre el archivo.

---

Kernel Investigations: Busca Vulnerabilidades y Oportunidades

• uname -a
  Revisa la información básica del kernel.
• cat /proc/version
  Muestra la versión del kernel y compilador.
• dmesg | grep -i vulnerability
  Busca mensajes relacionados con vulnerabilidades en el log del kernel.
• sudo lsmod | grep -i module
  Lista módulos del kernel con filtros específicos.
• sudo sysctl -a | grep kernel
  Revisa todos los parámetros configurados del kernel.
• find /boot -type f -name "vmlinuz*" -exec file {} \;
  Verifica detalles de la imagen del kernel.

---

Gran Final: Checklist Completo para tu Auditoría de PrivEsc

• history
  Revisa el historial de comandos ejecutados.
• ps aux
  Lista los procesos en ejecución.
• df -h
  Muestra el uso de disco en formato legible.
• sudo auditctl -l
  Lista las reglas de auditoría (si auditd está instalado).
• sudo ausearch -m AVC -ts today
  Busca eventos de control de acceso en los logs.
• sudo lsof -i -P -n
  Muestra conexiones de red y archivos abiertos de manera detallada.

---