Kali Linux nbtscan-unixwiz en Español
Kali Linux nbtscan-unixwiz en Español
nbtscan-unixwiz (comúnmente llamado simplemente nbtscan) es una herramienta clásica y potente en Kali Linux diseñada para escanear redes en busca de información de nombres NetBIOS.
A diferencia del nbtscan estándar, la versión de unixwiz es conocida por ser especialmente robusta para recolectar datos de sistemas Windows y servidores Samba.
¿Qué hace exactamente?
Esta herramienta envía una consulta de estado de nodo a cada dirección IP en un rango específico. Cuando un sistema responde, la herramienta desglosa la respuesta en una tabla fácil de leer que incluye:
Dirección IP.
Nombre NetBIOS (el nombre de la computadora).
Nombre del Servidor/Usuario (quién tiene la sesión iniciada).
Dirección MAC.
Comandos y Uso Común
Para usarlo en Kali, abre tu terminal y sigue estos ejemplos:
1. Escaneo básico de una red local
Si quieres ver qué equipos Windows están activos en tu segmento:
nbtscan-unixwiz 192.168.1.0/24
2. Escaneo de una sola IP con detalles (Modo Verbose)
Si encuentras un objetivo interesante y quieres ver todos los "servicios" que está anunciando (como si es un controlador de dominio o tiene carpetas compartidas):
nbtscan-unixwiz -v 192.168.1.50
3. Formato para scripts (Modo CSV)
Si estás realizando una auditoría y necesitas exportar los datos para usarlos en Excel o procesarlos con otra herramienta:
nbtscan-unixwiz -f 192.168.1.0/24
Interpretación de los Resultados
Cuando ejecutas el comando con la opción -v, verás códigos hexadecimales al lado de los nombres (como <00>, <20>, <1B>). Aquí te explico los más importantes:
| Código | Tipo | Significado |
| <00> | Único | Nombre de la estación de trabajo (Workstation Service) |
| <20> | Único | El servidor tiene el servicio de archivos compartidos activo |
| <1B> | Único | Master Browser del dominio (indica un posible Controlador de Dominio) |
| <03> | Único | Servicio de mensajería de Windows activo |
¿Por qué es útil en Pentesting?
Enumeración rápida: Es mucho más rápido que un escaneo de puertos completo de Nmap para identificar máquinas Windows.
Identificación de usuarios: A veces revela el nombre del usuario logueado sin necesidad de autenticación.
Descubrimiento de MAC: Te da la dirección física incluso si estás saltando a través de algunos tipos de routers o switches que ocultan otros datos.
Nota: Ten en cuenta que en redes modernas con firewalls estrictos o donde el protocolo NetBIOS ha sido desactivado (en favor de mDNS o DNS estándar), es posible que no obtengas resultados.
Cuando trabajas en una red grande, la salida de nbtscan-unixwiz puede ser abrumadora. Lo ideal es filtrar la información para encontrar rápidamente los "objetivos de alto valor" (como servidores o controladores de dominio).
Aquí tienes un par de formas de hacerlo combinando el comando con herramientas de Linux como grep y awk:
1. Filtrar solo máquinas con archivos compartidos (<20>)
Si buscas servidores que probablemente tengan carpetas compartidas, busca el código hexadecimal <20> en el modo detallado:
nbtscan-unixwiz -v 192.168.1.0/24 | grep "<20>"
2. Listar solo IPs y Nombres (Limpieza de datos)
Si quieres una lista limpia para un informe o para pasarla a otra herramienta (como Nmap), puedes usar este comando que elimina las líneas vacías y los encabezados:
nbtscan-unixwiz 192.168.1.0/24 | awk '/^[0-9]/ {print $1, $2}'
Qué hace: Solo imprime la primera columna (IP) y la segunda (Nombre del equipo) de las líneas que empiezan con un número.
3. Identificar posibles Controladores de Dominio (<1B>)
En un entorno corporativo, el código <1B> indica el Domain Master Browser. Encontrarlo es como hallar el "cerebro" de la red:
nbtscan-unixwiz -v 192.168.1.0/24 | grep -B 5 "<1B>"
Tip: El
-B 5sirve para quegrepte muestre también las 5 líneas antes del código, permitiéndote ver a qué IP y nombre pertenece ese servicio.
4. Guardar resultados en un archivo CSV
Para manejar miles de IPs, lo mejor es el formato de valores separados por comas:
nbtscan-unixwiz -f 192.168.1.0/24 > resultados_red.csv
Un pequeño recordatorio de "amigo": NetBIOS es un protocolo ruidoso y antiguo. Si la red es muy moderna (Windows 10/11 bien endurecidos), es posible que no respondan a estos paquetes. Si ves que nbtscan no devuelve nada, el siguiente paso lógico sería usar nmap --script nbstat.nse.
Aquí tienes un pequeño script en Bash que puedes copiar y pegar. Lo que hace es automatizar el escaneo, limpiar el ruido y extraer específicamente los nombres de usuario y de equipos, guardándolos en un archivo de texto organizado.
Copia esto en un archivo llamado escaneo_netbios.sh:
#!/bin/bash
# Comprobar si se pasó un argumento (IP o Rango)
if [ -z "$1" ]; then
echo "Uso: $0 <rango_de_red>"
echo "Ejemplo: $0 192.168.1.0/24"
exit 1
fi
TARGET=$1
OUTPUT="usuarios_encontrados.txt"
echo "[+] Iniciando escaneo en $TARGET..."
echo "--- Reporte de NetBIOS ($TARGET) ---" > $OUTPUT
date >> $OUTPUT
echo "------------------------------------" >> $OUTPUT
# Ejecutar nbtscan, filtrar por nombres de usuario/equipo y limpiar formato
nbtscan-unixwiz -f $TARGET | awk -F',' '{print "IP: "$1 " | Equipo: "$2 " | Usuario: "$3}' >> $OUTPUT
echo "[+] Escaneo completado. Resultados guardados en: $OUTPUT"
cat $OUTPUT
Cómo usarlo:
Dale permisos de ejecución:
chmod +x escaneo_netbios.shEjecútalo con tu rango:
./escaneo_netbios.sh 192.168.1.0/24
¿Por qué este script es mejor que el comando solo?
Formato CSV interno: Usa la bandera
-fdenbtscan-unixwiz, que genera una salida separada por comas, mucho más fácil de procesar para el comandoawk.Persistencia: Te deja un archivo
.txtlisto para adjuntar a un informe o para revisar más tarde sin tener que volver a escanear (lo cual ahorra tráfico en la red).Claridad: Filtra las columnas innecesarias y te presenta solo lo vital: IP, Nombre del PC y Usuario.
Un detalle técnico importante:
A veces verás que en la columna de "Usuario" aparece el mismo nombre que en la de "Equipo". Esto sucede porque si no hay nadie logueado activamente o el sistema está bloqueado, NetBIOS suele responder con el nombre del sistema por defecto. Si ves un nombre distinto (ej. IP: 192.168.1.15 | Equipo: PC-VENTAS | Usuario: JSMITH), ¡has dado en el clavo! Ya tienes un nombre de usuario válido para intentar ataques posteriores como password spraying.
Si nbtscan-unixwiz te dio una IP y un nombre de usuario, Enum4linux es la herramienta "hermana" que debes usar a continuación. Mientras que nbtscan es un escaneo rápido de superficie, Enum4linux es una perforadora profunda para protocolos SMB/NetBIOS.
¿Qué hace Enum4linux que no haga nbtscan?
Enum4linux intenta extraer información crítica del sistema objetivo utilizando sesiones nulas (conexiones sin contraseña que Windows a veces permite por retrocompatibilidad). Puede obtener:
Lista completa de usuarios del sistema o dominio.
Listado de carpetas compartidas (recursos compartidos).
Políticas de contraseñas (longitud mínima, si caducan, etc.).
Grupos de usuarios (quién es Administrador).
Cómo usarlo con los datos que ya tienes
Supongamos que tu script de antes encontró que la IP 192.168.1.50 tiene el servicio NetBIOS activo.
1. Escaneo Completo (El más común)
Este comando intenta todas las técnicas de enumeración posibles contra el objetivo:
enum4linux -a 192.168.1.50
2. Solo para extraer la lista de usuarios
Si solo te interesa confirmar nombres de usuario para un ataque de fuerza bruta o diccionario:
enum4linux -U 192.168.1.50
3. Ver recursos compartidos (Shares)
Para ver si hay carpetas como BASES_DE_DATOS o BACKUPS accesibles:
enum4linux -S 192.168.1.50
El Flujo de Trabajo Ideal (Pentesting)
| Paso | Herramienta | Objetivo |
| 1. Descubrimiento | nbtscan-unixwiz | Identificar qué IPs hablan NetBIOS rápidamente. |
| 2. Enumeración | enum4linux | Extraer nombres de usuarios, grupos y carpetas compartidas. |
| 3. Explotación | smbclient o crackmapexec | Intentar entrar a las carpetas o probar contraseñas. |
Dato curioso: Enum4linux es en realidad un "wrapper" escrito en Perl que utiliza herramientas de Samba como
smbclient,rpcclientynet. Por eso verás mucha información técnica pasar por tu pantalla.
Una advertencia de seguridad
Si estás en una red con un EDR (Endpoint Detection and Response) moderno o un SIEM (como Splunk), enum4linux es muy "ruidoso". Genera muchos intentos de conexión fallidos que pueden alertar al equipo de seguridad. Úsalo con discreción en entornos controlados.
Si quieres ser un poco más discreto y profesional, Nmap es tu mejor aliado. A diferencia de enum4linux, que lanza ráfagas de ataques por todos lados, Nmap permite usar scripts específicos (NSE - Nmap Scripting Engine) que solo se activan si detectan que el puerto SMB (445) o NetBIOS (139) está abierto.
Aquí tienes el comando "maestro" que combina el descubrimiento de nbtscan con la profundidad de enum4linux, pero de forma más controlada:
El Comando de Nmap para Enumeración SMB/NetBIOS
nmap -p 137,139,445 --script nbstat.nse,smb-enum-shares.nse,smb-enum-users.nse 192.168.1.0/24
¿Qué está pasando aquí?
-p 137,139,445: Solo escaneamos los puertos necesarios (NetBIOS y SMB). Esto es mucho más silencioso que escanear los 1,000 puertos por defecto.nbstat.nse: Hace exactamente lo mismo quenbtscan-unixwiz(trae el nombre del equipo y códigos como<20>).smb-enum-shares.nse: Intenta listar las carpetas compartidas.smb-enum-users.nse: Intenta extraer la lista de usuarios del sistema.
Comparativa: ¿Cuándo usar cada herramienta?
Si tienes dudas sobre cuál elegir en tu auditoría, esta tabla te ayudará:
| Herramienta | Velocidad | Ruido (Detección) | Información |
| nbtscan-unixwiz | Ultra rápida | Bajo | Básica (IP, Nombre, Usuario activo) |
| Enum4linux | Lenta | Muy Alto | Muy Completa (Usuarios, Grupos, Shares, SID) |
| Nmap (NSE) | Media | Moderado | Equilibrada y Personalizable |
El "Pro-Tip" de Sigilo: Escaneo de Host Discovery
Si solo quieres saber qué máquinas tienen NetBIOS activo sin que el Firewall de Windows te bloquee por "escaneo de puertos", usa el descubrimiento por protocolo:
nmap -sU -p 137 --script nbstat.nse 192.168.1.0/24
Aquí usamos UDP 137, que es el corazón de NetBIOS. Muchos firewalls antiguos dejan pasar este tráfico pensando que es mantenimiento de red común.
¿Cuál es el siguiente paso lógico?
Una vez que tienes la IP y un nombre de usuario (gracias a Nmap o nbtscan), lo que sigue es intentar ver si puedes entrar a esas carpetas compartidas sin contraseña o con una contraseña débil.
Una vez que has identificado una carpeta compartida (un "share") con Nmap o Enum4linux, el siguiente paso es intentar entrar. Para esto usamos smbclient, que es básicamente como un cliente de FTP pero para el protocolo de Windows (SMB).
Aquí te explico cómo moverte como un profesional dentro de esos recursos compartidos.
1. Listar recursos sin contraseña (Null Session)
Antes de intentar adivinar una clave, probamos si el administrador dejó la puerta abierta. El parámetro -N significa "sin contraseña" (no pass):
smbclient -L //192.168.1.50 -N
-L: Lista los recursos compartidos.
-N: No solicita contraseña.
2. Conectarse a una carpeta específica
Si en el paso anterior viste una carpeta llamada Documentos, intenta entrar así:
smbclient //192.168.1.50/Documentos -N
Si logras entrar, verás un prompt que dice smb: \>. ¡Ya estás dentro!
3. Comandos útiles dentro de SMB
Una vez dentro del prompt smb: \>, los comandos son muy parecidos a los de una terminal Linux:
ls: Lista los archivos en la carpeta remota.cd: Cambia de directorio.get nombre_archivo.txt: Descarga un archivo a tu máquina Kali.put archivo_local.txt: Sube un archivo de tu Kali a la máquina víctima (muy útil para dejar herramientas o "malware" de prueba).mask ""yrecurse ON: Se usan antes deprompt OFFymget *si quieres descargar toda la carpeta de golpe.
4. ¿Y si pide contraseña? (Usando el usuario que encontramos)
Si nbtscan-unixwiz te dio un nombre de usuario (ejemplo: perez), intenta entrar usando ese usuario. Si no tienes la clave, puedes probar simplemente dando Enter (password en blanco):
smbclient //192.168.1.50/Documentos -U perez
Resumen del flujo de ataque hasta ahora:
nbtscan-unixwiz: Encuentras la IP y el nombre del usuario logueado.nmap --script smb-enum-shares: Ves qué carpetas tiene ese equipo.smbclient: Intentas entrar a esas carpetas para extraer información sensible.
El siguiente nivel: Crackmapexec
Si tienes una lista de 50 computadoras y quieres probar el mismo usuario/contraseña en todas a la vez para ver en cuál funciona, smbclient se queda corto porque es manual.
¡Aquí es donde la magia del pentesting moderno ocurre! CrackMapExec (ahora evolucionando a NetExec) es la "navaja suiza" que todo auditor de redes utiliza.
Mientras que smbclient es para entrar a una máquina a la vez, CrackMapExec (CME) está diseñado para atacar toda la red simultáneamente. Es extremadamente rápido y te dirá exactamente en qué máquinas tienes permisos.
1. El comando de "Fuerza Bruta" o "Validación"
Si nbtscan-unixwiz te dio un usuario (ej. perez) y quieres probar si su contraseña es algo común como Septiembre2023 en todo el segmento:
crackmapexec smb 192.168.1.0/24 -u 'perez' -p 'Septiembre2023'
¿Qué buscar en el resultado?
[-]: Fallo de login.
[+]: ¡Éxito! El usuario y contraseña son válidos en esa IP.
[+] (Pwn3d!): Esto es el "Santo Grial". Significa que ese usuario es Administrador Local y tienes control total sobre esa máquina.
2. Listar recursos compartidos en TODA la red
Si no tienes contraseña, CME puede intentar sesiones nulas en todas las IPs para ver qué carpetas están abiertas:
crackmapexec smb 192.168.1.0/24 --shares -u '' -p ''
3. El siguiente paso: Extraer información (SAM/LSA)
Si el comando anterior te devolvió un (Pwn3d!), puedes pedirle a CME que extraiga los hashes de las contraseñas de todos los usuarios de esa máquina (para luego romperlas en tu PC):
crackmapexec smb 192.168.1.50 -u 'perez' -p 'Septiembre2023' --sam
Resumen del Flujo de Trabajo Profesional
| Herramienta | Acción | Resultado esperado |
| nbtscan-unixwiz | Escaneo rápido | Lista de IPs con NetBIOS y nombres de usuario. |
| Nmap (NSE) | Enumeración | Lista de carpetas compartidas y vulnerabilidades. |
| CrackMapExec | Automatización | Validación de credenciales en toda la red y escalada. |
¿Qué tan ruidoso es?
Mucho. CrackMapExec es como entrar a un edificio probando la misma llave en todas las puertas a la vez. Si hay un sistema de seguridad (IDS/IPS), saltarán todas las alarmas. Es una herramienta de fase de explotación, no de sigilo.
Aquí tienes tu Guía Maestra de Enumeración NetBIOS/SMB en Kali Linux. Esta secuencia sigue el orden lógico de un Pentest real, desde el descubrimiento inicial hasta el control total.
🏁 Fase 1: Descubrimiento Rápido (Reconocimiento)
Usa esto para "mapear" la red en segundos y ver quién habla NetBIOS.
Escaneo básico de red:
nbtscan-unixwiz 192.168.1.0/24Identificar usuarios logueados y servicios:
nbtscan-unixwiz -v 192.168.1.50Busca los códigos:
<03>(Mensajería/Usuario),<20>(Archivos compartidos),<1B>(Controlador de Dominio).
🔍 Fase 2: Enumeración Profunda (Información)
Una vez que tienes las IPs, extrae nombres de usuarios reales y carpetas.
Enumeración completa (Usuarios, Grupos, Shares):
enum4linux -a 192.168.1.50Script de Nmap para ver carpetas compartidas:
nmap -p 445 --script smb-enum-shares 192.168.1.50
📂 Fase 3: Acceso Manual (Interacción)
Intenta entrar a las carpetas encontradas para ver su contenido.
Listar recursos sin contraseña (Null Session):
smbclient -L //192.168.1.50 -NConectarse a una carpeta específica:
smbclient //192.168.1.50/NombreCarpeta -U usuario
🚀 Fase 4: Automatización y Explotación (Control)
Prueba credenciales en TODA la red y busca privilegios de Administrador.
Validar usuario/password en todo el segmento:
crackmapexec smb 192.168.1.0/24 -u 'usuario' -p 'password'Ver carpetas compartidas en toda la red:
crackmapexec smb 192.168.1.0/24 --shares -u '' -p ''Extraer base de datos de contraseñas (Si eres Admin/Pwn3d!):
crackmapexec smb 192.168.1.50 -u 'admin' -p 'clave' --sam
💡 Resumen de códigos clave NetBIOS
| Código | Significado | Importancia |
| <00> | Workstation | Máquina estándar conectada. |
| <03> | Messenger | Suele revelar el nombre del usuario real. |
| <20> | File Server | ¡Objetivo! Tiene carpetas compartidas activas. |
| <1B> | Domain Master | Es un servidor principal o Controlador de Dominio. |
