GTFOBins en 2026: 380+ binarios Linux usados para escalar privilegios

Publicado por Andrés Morales en

⏱️ Lectura: 13 min

En la jerga de la seguridad ofensiva existe un concepto llamado living off the land: atacar un sistema usando solo las herramientas que ya están instaladas, sin descargar malware ni binarios sospechosos. GTFOBins es el catálogo definitivo de esa técnica para entornos Unix y Linux. El proyecto documenta más de 380 ejecutables legítimos —desde find y vim hasta tar y tcpdump— que pueden abusarse para escapar de shells restringidos, escalar privilegios, leer archivos protegidos o abrir conexiones reversas. En 2026 sigue siendo lectura obligatoria tanto para pentesters como para administradores que quieran entender por qué un binario aparentemente inofensivo puede ser la pieza que comprometa todo un servidor.

📑 En este artículo
  1. Qué es GTFOBins
  2. Origen e historia del proyecto
  3. Por los números: el alcance de GTFOBins en 2026
  4. Cómo se abusan los binarios: ejemplos prácticos
  5. Funciones documentadas: la taxonomía completa
  6. El flujo de explotación: cómo lo usa un pentester
  7. GTFOBins vs LOLBAS: el primo de Windows
  8. Casos reales: del CTF al ransomware
  9. Impacto y análisis: por qué GTFOBins importa más que nunca
  10. Qué sigue: hardening contra living-off-the-land
  11. Preguntas frecuentes
    1. ¿GTFOBins es un sitio de hacking ilegal?
    2. ¿Cuántos binarios documenta GTFOBins?
    3. ¿Cuál es la diferencia entre GTFOBins y LOLBAS?
    4. ¿Cómo se defiende un servidor Linux contra estas técnicas?
    5. ¿GTFOBins detecta automáticamente vulnerabilidades en mi sistema?
    6. ¿Puedo contribuir con una entrada nueva?
  12. Referencias

Qué es GTFOBins

GTFOBins es una base de datos curada que recopila funciones legítimas de utilidades estándar de Unix que pueden ser abusadas con fines ofensivos. El nombre es un guiño explícito: significa Get The F**k Out Bins, en referencia a la idea de salir de un entorno restringido usando los mismos binarios que ya están permitidos en el sistema. La base no lista exploits ni vulnerabilidades de software: lista comportamientos legítimos que, en el contexto incorrecto, se vuelven herramientas de ataque.

Un ejemplo clásico: el comando find tiene una opción -exec que permite ejecutar otro programa por cada archivo encontrado. Es una funcionalidad documentada y útil. Pero si un usuario tiene permiso para ejecutar find con sudo, puede pedirle que ejecute /bin/sh y obtener una shell con privilegios de root. El binario no está roto. La política de permisos sí.

Origen e historia del proyecto

GTFOBins nació en mayo de 2018 como un esfuerzo conjunto de los investigadores italianos Emilio Pinna y Andrea Cardaci. El sitio empezó como una lista corta en GitHub Pages, pero rápidamente se convirtió en un recurso de referencia. La comunidad de seguridad ofensiva contribuyó con cientos de pull requests, agregando técnicas, contextos nuevos y binarios olvidados. Hoy hay más de cien colaboradores listados en el repositorio.

El concepto que da nombre al proyecto —living off the land— ya existía en la literatura de ciberseguridad para describir grupos APT (Advanced Persistent Threat) que evitan introducir malware al sistema porque eso dispara antivirus y EDR. Reusar binarios firmados por el sistema operativo es la forma más sigilosa de moverse: las herramientas ya están allí, ya están en la lista blanca, y la línea de comando se ve como uso normal. GTFOBins sistematizó ese conocimiento en una base de datos pública, navegable y consultable por API.

GTFOBins muestra binarios Linux que pueden romper restricciones de seguridad
El catálogo cubre desde utilidades comunes como find y tar hasta intérpretes y compiladores.

Por los números: el alcance de GTFOBins en 2026

A inicios de 2026 GTFOBins documenta más de 380 binarios distintos. Cada entrada describe una o varias funciones abusables: shell directa, ejecución de comandos arbitrarios, escritura y lectura de archivos privilegiados, descarga y subida desde la red, carga de bibliotecas dinámicas, escalada de privilegios y mantención de privilegios elevados. La cifra crece cada mes con nuevas técnicas reportadas por la comunidad.

El proyecto cataloga las técnicas en cuatro contextos según el tipo de exposición:

  • Unprivileged — el binario está disponible pero el atacante es un usuario común. Se usa típicamente para escapar de shells restringidos como rbash, lshell o jaulas similares.
  • Sudo — el atacante puede ejecutar el binario con sudo sin contraseña o con contraseña conocida. Es la vía más directa de escalada cuando una política sudo está mal configurada.
  • SUID — el binario tiene el bit SUID activado y se ejecuta con los privilegios del propietario, normalmente root. Todavía se ve mucho en CTFs y en sistemas legacy.
  • Capabilities — el binario tiene capabilities específicas asignadas por setcap, como cap_setuid+ep. Es el equivalente moderno a SUID pero más granular.
💭 Clave: GTFOBins no documenta vulnerabilidades. Documenta cómo binarios completamente normales se vuelven peligrosos cuando se les dan privilegios que no necesitan.

Cómo se abusan los binarios: ejemplos prácticos

Para entender por qué GTFOBins es tan citado, vale la pena ver tres ejemplos clásicos. Si un usuario tiene sudo sobre cualquiera de estos comandos, normalmente puede convertirlo en una shell de root con una sola línea:

# find: la opción -exec corre cualquier comando con los privilegios actuales
sudo find /etc -name passwd -exec /bin/sh \;

# vim: el escape ":!" invoca shell desde el editor
sudo vim -c ':!/bin/sh'

# awk: el bloque BEGIN ejecuta system() antes de procesar entrada
sudo awk 'BEGIN {system("/bin/sh")}'

Ninguno de estos comandos contiene una vulnerabilidad. find, vim y awk hacen exactamente lo que su manual documenta. El problema es que los administradores muchas veces dan sudo para una tarea puntual sin entender que cualquier binario que pueda ejecutar otro proceso es, efectivamente, sudo total. La trampa de la usabilidad es muy real en LATAM, donde equipos pequeños suelen otorgar permisos amplios para no bloquear el flujo de trabajo.

Los casos de lectura de archivos también son comunes y peligrosos. Comandos como cat, less, more, tail, head y hasta utilidades aparentemente inocuas como base64, od, strings o xxd permiten leer cualquier archivo si se ejecutan con privilegios elevados. Eso incluye archivos sensibles como /etc/shadow o credenciales en /root.

Funciones documentadas: la taxonomía completa

Cada entrada de GTFOBins clasifica el comportamiento abusable en una de estas categorías:

  • Shell — spawnea una shell interactiva (la más común y la más útil para escalada).
  • Command — ejecuta un comando arbitrario sin entrar en una shell.
  • Reverse shell — conecta de vuelta al atacante para C2.
  • Bind shell — abre un puerto local que el atacante puede conectar.
  • File write y File read — permiten leer o escribir archivos con privilegios elevados.
  • Upload y Download — mueven archivos hacia o desde un servidor remoto sin necesidad de instalar nada extra.
  • Library load — carga una biblioteca dinámica arbitraria, una técnica que complementa preload tricks.
  • Privilege escalation — cambia permisos directamente, como chmod o chown sobre binarios sensibles.
  • Inherit — el binario invoca otra herramienta que también está en GTFOBins, heredando todas sus capacidades.
Diagrama de flujo de escalada de privilegios usando GTFOBins en Linux
Flujo típico de enumeración y abuso de un binario con sudo mal configurado.

El flujo de explotación: cómo lo usa un pentester

El uso real de GTFOBins en una auditoría es metódico. El siguiente diagrama resume el flujo de un pentester que acaba de obtener una shell sin privilegios:

graph LR
 A["Acceso inicial sin privilegios"] --> B["Enumeracion: sudo -l, find SUID, getcap"]
 B --> C{"Binario en GTFOBins?"}
 C -->|"Si"| D["Buscar tecnica para el contexto"]
 C -->|"No"| E["Probar otros vectores"]
 D --> F["Ejecutar payload"]
 F --> G["Shell como root"]

La enumeración es la fase crítica. Comandos como sudo -l (lista lo que el usuario puede hacer con sudo), find / -perm -4000 2>/dev/null (busca binarios SUID) y getcap -r / 2>/dev/null (lista capabilities) son la primera parada. Cualquier resultado se cruza contra GTFOBins. Si el binario está documentado, la explotación está a una línea de distancia.

GTFOBins vs LOLBAS: el primo de Windows

El equivalente de GTFOBins en el mundo Windows se llama LOLBAS (Living Off The Land Binaries, Scripts and Libraries). Cubre binarios firmados por Microsoft —como certutil.exe, regsvr32.exe, mshta.exe o rundll32.exe— que pueden abusarse para descargar payloads, ejecutar código, evadir AppLocker o evadir Windows Defender. La filosofía es idéntica: usar lo que ya está firmado y permitido.

Ambos proyectos están mapeados a MITRE ATT&CK, el framework estándar de tácticas y técnicas adversarias. La técnica T1218 — Signed Binary Proxy Execution y sus variantes son justamente lo que GTFOBins y LOLBAS documentan. Eso convierte a estos catálogos en herramientas tanto para red team (planificar acciones) como para blue team (escribir reglas de detección).

⚠️ Ojo: Si tu EDR solo detecta ejecuciones de binarios sospechosos sin analizar argumentos, GTFOBins lo hace ciego. La detección moderna requiere mirar la línea de comando completa, no solo el binario.

Casos reales: del CTF al ransomware

GTFOBins aparece en cualquier informe de pentest que termine en escalada de privilegios local. En CTFs (Capture The Flag) es la primera consulta que hace cualquier jugador después de revisar sudo -l. Pero su uso no se limita al juego: grupos de ransomware como Akira, Black Basta y LockBit han sido documentados usando técnicas listadas en GTFOBins para moverse lateralmente en redes Linux —especialmente en ataques contra hipervisores VMware ESXi, donde el binario vim-cmd y derivados son recursos comunes.

En 2024 y 2025 hubo varios incidentes relevantes donde la explotación de servidores Jenkins, GitLab y Confluence terminó con escalada local vía sudo mal configurado en utilidades del sistema. La cadena de ataque típica: vulnerabilidad pública en la app web → shell del usuario que corre el servicio → enumeración → consulta a GTFOBins → root. Es el punto donde un bug aparentemente menor se convierte en compromiso total del servidor.

Impacto y análisis: por qué GTFOBins importa más que nunca

Tres factores hacen que GTFOBins sea hoy más relevante que en 2018:

  • Containers y Kubernetes — cada contenedor incluye un set reducido de binarios. Si busybox, tar o find están en la imagen y un proceso comprometido tiene capabilities elevadas, el escape es trivial. Hay entradas de GTFOBins específicas para este escenario.
  • Imágenes minimalistas mal configuradas — distribuciones como Alpine y Wolfi reducen la superficie de ataque, pero muchos equipos copian binarios por si acaso, rompiendo la garantía. Una sola entrada GTFOBins en la imagen vuelve a abrir el agujero.
  • Bring Your Own Vulnerable Binary — los atacantes empezaron a llevar versiones vulnerables de binarios firmados al sistema, replicando la lógica de GTFOBins de forma portable. El catálogo se vuelve un mapa para construir kits ofensivos.

Para los equipos de defensa, GTFOBins es un manual de detección invertido. Cada entrada describe el patrón ofensivo, lo que permite escribir reglas de auditoría —en auditd, Falco, Sysmon for Linux o eBPF— que disparen alertas cuando se observa el comando exacto. Proyectos como Falco ya incluyen reglas comunitarias derivadas directamente de GTFOBins, y herramientas como linpeas y linux-exploit-suggester integran la base de datos para automatizar el cruce.

Qué sigue: hardening contra living-off-the-land

El cambio cultural más importante para los administradores que enfrentan este vector es entender que el binario no es el problema; el contexto lo es. Algunas prácticas concretas que reducen drásticamente la superficie:

  • Política sudo granular — especificar comandos completos con argumentos exactos y opciones, en vez de ALL. Aun así, comandos como editores y compiladores son virtualmente imposibles de limitar sin perder funcionalidad: simplemente no deberían darse con sudo.
  • Auditar SUID y capabilities periódicamente — una imagen Docker o servidor que no necesita SUID puede limpiar todos los bits con find / -perm -4000 y revisar caso por caso.
  • Reglas de detección basadas en argumentos — Sysmon for Linux, auditd y Falco evalúan el árbol de procesos completo y la línea de comandos, no solo el nombre del binario.
  • Separación de responsabilidades — un proceso web nunca debería poder ejecutar tar, find o vim si su trabajo es solo servir HTTP. Mandatory Access Control con AppArmor o SELinux limita la lista de binarios disponibles para cada perfil.
💡 Tip: Antes de dar sudo a un usuario, buscá el binario en GTFOBins. Si aparece, la política otorga prácticamente root, no lo que pediste.

El proyecto sigue activo en GitHub y acepta contribuciones de cualquiera que documente una técnica nueva. La interfaz incluye filtros por función y contexto, una API JSON para integraciones automáticas y un mapeo a MITRE ATT&CK Navigator. Para LATAM, donde la inversión en EDR sigue por debajo del promedio mundial, conocer y aplicar este catálogo es probablemente el mejor retorno por hora invertida en hardening de servidores Linux.

📖 Resumen en Telegram: Ver resumen

Preguntas frecuentes

¿GTFOBins es un sitio de hacking ilegal?

No. Es un proyecto open source de divulgación de seguridad ofensiva, ampliamente referenciado en cursos universitarios, certificaciones como OSCP y por equipos blue team para escribir reglas de detección. La información que publica es necesaria para entender y defenderse de los ataques.

¿Cuántos binarios documenta GTFOBins?

A inicios de 2026 el catálogo supera los 380 binarios distintos, con varias funciones abusables documentadas por cada entrada. La cifra crece de forma constante con contribuciones de la comunidad.

¿Cuál es la diferencia entre GTFOBins y LOLBAS?

GTFOBins documenta binarios de sistemas Unix-like (Linux, macOS, BSD). LOLBAS hace lo mismo para Windows, enfocado en ejecutables y scripts firmados por Microsoft. Ambos proyectos están mapeados a MITRE ATT&CK.

¿Cómo se defiende un servidor Linux contra estas técnicas?

La defensa combina mínimo privilegio (sudo granular, sin SUID innecesario), MAC con AppArmor o SELinux, monitoreo de líneas de comando completas con Falco o auditd, y revisión periódica de capabilities y bits SUID. No existe una bala de plata: es disciplina operativa.

¿GTFOBins detecta automáticamente vulnerabilidades en mi sistema?

No. GTFOBins es un catálogo de referencia. Las herramientas de auto-enumeración como linpeas.sh, linenum y linux-exploit-suggester sí escanean el sistema y cruzan resultados contra GTFOBins automáticamente.

¿Puedo contribuir con una entrada nueva?

Sí. El proyecto está en GitHub y acepta pull requests. Cualquier técnica nueva con un binario reproducible y documentación clara es bienvenida. El proceso de revisión incluye verificación práctica por los mantenedores.

Referencias

  • GTFOBins — sitio oficial del catálogo de binarios Unix abusables.
  • LOLBAS Project — equivalente para binarios firmados de Windows.
  • GTFOBins en GitHub — repositorio fuente y guía de contribución.
  • MITRE ATT&CK T1218 — Signed Binary Proxy Execution, técnica donde se mapean GTFOBins y LOLBAS.

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.

Categorías: Noticias Tech

Andrés Morales

Desarrollador e investigador en inteligencia artificial. Escribe sobre modelos de lenguaje, frameworks, herramientas para devs y lanzamientos open source. Cubre papers de ML, ecosistema de startups tech y tendencias de programación.

0 Comentarios

Deja un comentario

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Entradas relacionadas

Imagen ilustrativa: ESP-Drone: el firmware open source de Espressif que convierte un ESP32 en un quadcopter controlado p
Noticias Tech

ESP-Drone: el firmware open source de Espressif que convierte un ESP32 en un quadcopter controlado por Wi-Fi

Resumen ejecutivo: ESP-Drone es el firmware oficial de Espressif —los creadores del chip ESP32— para construir un mini-cuadricóptero controlado por Wi-Fi desde el celular o un gamepad. El proyecto, hospedado en github.com/espressif/esp-drone, tiene 1,670 estrellas, 408 forks…

Diagrama de la genealogía histórica de los demostradores de teoremas
Noticias Tech

Paulson responde a Lean: 60 años de formalización matemática

Lawrence Paulson, creador de Isabelle, escribió un ensayo viral sobre por qué no usa Lean para formalizar matemáticas. Detrás del debate técnico hay 60 años de historia que casi nadie cuenta.

Captura de error 404 que ilustra un robo de dominio tras una transferencia interna
Noticias Tech

GoDaddy entrega dominio de 27 años a un extraño en 4 minutos

Un dominio activo durante 27 años, protegido con doble 2FA y privacidad completa, fue transferido a un desconocido por un empleado interno de GoDaddy en cuatro minutos. El caso expone fallas sistémicas en uno de los registradores más grandes del mundo.