windows后渗透中常用的信息收集命令

最新推荐文章于 2025-12-07 22:56:53 发布

原创最新推荐文章于 2025-12-07 22:56:53 发布 · 1k 阅读

14 ·

CC 4.0 BY-SA版权

文章标签：

#windows #信息收集

内网渗透专栏收录该内容

26 篇文章

订阅专栏

最近学完了web方向的知识复习，比如像sql，xss漏洞等的靶场，那么现在就是复习内网的知识，在我以前的文章中我已经有相关的知识点了，大家可以看我的专栏内网渗透_jieyu1119的博客-优快云博客，从信息收集，权限提升，横向移动，权限维持，域控制器安全我都有提及，现在再进行一次复习可以发现很多地不足，那么现在就进行补充，那么这里就从信息收集开始，内网的信息收集除了工具以外，系统命令也是很重要的，那么这里就讲述windows通过系统命令来收集域信息。

一、基础系统与域状态判断

首先需确认当前主机是否加入域、所在域名称、登录用户权限等基础信息，为后续渗透方向提供依据。

命令	作用	关键输出 / 说明
ipconfig /all	查看网络配置（DNS、网关、主 DNS 后缀）	- 主 DNS 后缀：若存在类似corp.com的后缀，说明主机已加入域（非工作组环境）； - DNS 服务器 IP：域环境中 DNS 通常指向 DC，可初步定位 DC； - DHCP 服务器：可能关联域内基础设施。
systeminfo	查看系统详细信息（域、补丁、登录服务器）	- 域：直接显示 “域” 字段（如CORP），无则为 “工作组”； - 登录服务器：显示当前登录的域控制器（如\\DC01）； - 系统版本 / 补丁：判断系统漏洞（如是否存在永恒之蓝、PrintNightmare）。
echo %USERDOMAIN%	快速获取当前用户所属的域名称	输出域短名（如CORP），若为WORKGROUP则未加入域。
echo %LOGONSERVER%	快速获取当前登录的域控制器（DC）	输出 DC 的 NetBIOS 名（如\\DC01），直接定位核心域控。
net config workstation	查看工作站配置（域、DC、登录用户）	- 工作站域：显示域名称； - 登录域控制器：确认当前 DC；

二、域用户信息收集

获取域内用户列表、用户详情（密码策略、所属组）、当前登录用户等，用于后续密码爆破、权限横向。

命令	作用	关键输出 / 说明
net user	列出所有域用户	输出域内所有用户的用户名、全名、注释（如 “管理员账号”“财务用户”），可筛选关键用户（如admin、svc_sql）。
net user [用户名]	查看单个域用户的详细信息	- 密码过期时间、账户是否禁用、最后登录时间； - 所属域组（如是否属于Domain Admins）； - 登录工作站限制（如仅允许登录DC01）。示例：net user admin /domain（查看域管理员admin的详情）。
query user 或 quser	查看当前主机的登录用户	显示本地 / 远程登录的用户（包括 RDP 登录）、登录时间、会话 ID，判断是否有管理员在线（避免操作冲突或触发告警）。
whoami /all	查看当前用户的完整权限信息	- 当前用户名（如CORP\user1）； - SID（安全标识符，域管理员 SID 后缀为500，域用户为1000+）； - 所属本地 / 域组（如Domain Users、Remote Desktop Users）； - 权限列表（如SeDebugPrivilege、SeRestorePrivilege，高权限可用于提权）。
`net user /domain [用户名]	findstr "Password"`	筛选域用户的密码相关信息

三、域内计算机信息收集

获取域内所有计算机列表、IP 与主机名对应关系、活跃主机，确定横向渗透的目标范围。

命令	作用	关键输出 / 说明
net view	列出域内所有计算机（NetBIOS 名）	输出域内在线 / 离线计算机（如\\PC-01、\\SERVER-02），但仅显示开启文件共享a（SMB）的主机，离线主机可能不显示。
net group "Domain Computers" /domain	通过 “域计算机组” 查询所有加入域的计算机	输出所有加入域的计算机
ping -a [IP地址]	反向解析 IP 对应的计算机名	结合内网 IP 段扫描（如ping -a 192.168.1.100），建立 “IP - 主机名” 映射，定位关键服务器（如DC01的 IP）。
arp -a	查看本地 ARP 缓存表	显示同一网段内最近通信过的主机 IP 和 MAC 地址，识别活跃主机（避免扫描全网段触发告警）。
nbtstat -A [IP地址]	查询目标 IP 的NetBIOS 信息	输出目标主机的 NetBIOS 名、域归属（如CORP <00>表示属于CORP域）、是否为 DC（DC <20>标识）。
gpresult /r	查看当前主机应用的域组策略	“计算机配置 - 安全设置”“用户配置 - 脚本”，可发现密码策略、登录脚本等敏感信息
dsquery computer -domain corp.com -limit 0	从 AD 直接获取所有域计算机	输出所有域计算机

四、域组与权限信息收集

域组决定用户权限，核心目标是找到Domain Admins（域管理员组）、Enterprise Admins（企业管理员组）等高权限组及其成员。

命令	作用	关键输出 / 说明
net group /domain	列出所有域组	输出域内预设组（如Domain Admins、Domain Controllers）和自定义组（如IT_Admin）。
net group "Domain Admins" /domain	查看域管理员组（DA）成员	渗透核心命令！输出所有域管理员账号（如CORP\admin、CORP\it_manager），直接定位高权限用户。
net group "Enterprise Admins" /domain	查看企业管理员组（EA）成员	多域 / 森林环境中，EA 拥有全森林权限，优先级高于 DA。
net group "Domain Controllers" /domain	查看域控制器组（DC）成员	输出所有域控制器主机名（如\\DC01、\\DC02），确认 DC 数量和名称。
net localgroup Administrators	查看当前主机的本地管理员组	输出本地管理员（可能包含域用户，如CORP\admin），判断域用户是否拥有本地管理员权限（用于横向）。
icacls [文件/目录路径]	查看文件 / 目录的 ACL 权限	分析敏感路径（如C:\Share、\\DC01\SysVol）的权限，判断当前用户是否有读写权限（如(F)为完全控制）。示例：icacls \\DC01\SysVol（查看域共享SysVol的权限）。

五、域控制器（DC）

DC 是域环境的核心，需获取其 IP、健康状态、复制情况等，为后续攻击（如 DCSync、黄金票据）做准备。

命令	作用	关键输出 / 说明
dcdiag /s:[DC名/IP]	检查DC 的健康状态	需域管理员权限，输出 DC 的 DNS、AD 复制、服务状态等，判断 DC 是否存在配置漏洞（如复制失败）。
repadmin /showrepl /s:[DC名/IP]	查看AD（活动目录）复制状态	输出 DC 之间的复制拓扑、最近复制时间，判断是否有复制延迟（影响凭证同步，如黄金票据生成）。
net time /domain	查看域时间服务器（通常是 DC）	输出域时间和时间服务器（如\\DC01），间接确认 DC（域环境中 DC 默认作为时间源）。
net share	查看DC 的共享文件夹	DC 默认共享SysVol（组策略脚本）、NetLogon（登录脚本），这两个共享是渗透关键（如利用组策略漏洞、查找敏感脚本）。

六、网络与服务信息收集

了解内网网段、活跃端口、运行服务，定位漏洞点（如未打补丁的服务、弱口令服务）。

命令	作用	关键输出 / 说明
netstat -ano	查看当前主机的网络连接与端口	输出： - 本地 IP: 端口、远程 IP: 端口（识别可疑连接，如反向 shell）； - PID（进程 ID，结合tasklist定位进程）； - 状态（LISTENING为监听端口，ESTABLISHED为已连接）。
tasklist /svc	查看进程与关联服务	结合netstat -ano的 PID，定位监听端口对应的服务（如445端口对应lanmanserver服务），判断是否有敏感服务（如mssql、rdp）。
route print	查看路由表	输出内网所有网段（如192.168.1.0/24、10.0.0.0/8），确定横向渗透的网段范围（避免遗漏子网）。
sc query	列出当前主机的所有服务	查看服务状态（RUNNING/STOPPED）、启动类型（AUTO/MANUAL），寻找可利用的服务（如未授权访问的服务、可提权的服务）。
sc query "TermService"	查看远程桌面服务（RDP）状态	判断目标主机是否开启 RDP（RUNNING表示开启），用于后续 RDP 登录（如获取明文密码后）。
nbtstat -A 192.168.1.100	通过 NetBIOS 协议解析主机名	输出IP地址等相关信息

七、敏感文件与凭证信息收集

搜索域内敏感文件（如密码文档、配置文件）、注册表中的凭证信息，可能直接获取高权限账号。

命令	作用	关键输出 / 说明
`dir /s /a /b .txt .doc .xls .xlsx	findstr /i "pass\|cred \| 密码 \| 凭证"`	搜索敏感文件,递归搜索所有磁盘中的文档，筛选包含 “密码”“凭证” 关键词的文件（如password.txt、财务凭证.xlsx），/a显示隐藏文件。
dir /s /a /b \\DC01\SysVol\.ps1 .bat	搜索DC 共享中的脚本文件	SysVol共享存储组策略脚本，可能包含管理员编写的明文密码（如登录脚本中的net use命令）。
type "C:\Program Files\某软件\config.ini"	查看配置文件内容	部分软件（如数据库、中间件）的配置文件中可能存储明文账号密码（如username=admin;password=123456）。
reg query HKLM\SAM\SAM	查看SAM 注册表（本地用户哈希）	SAM 存储本地用户的 NTLM 哈希，但默认只有SYSTEM权限可读取，需提权后导出（如用mimikatz）。
reg query HKLM\SECURITY\Policy\Secrets	查看安全注册表中的敏感信息	存储系统敏感数据（如 LSA 密钥），需SYSTEM权限，可用于后续破解或生成票据。
C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Login Data	Chrome 保存的密码，用 mimikatz读取	得到相关用户服务的登录账号密码
\\DC01\SysVol\corp.com\Policies\*\Machine\Preferences\Groups\Groups.xml	组策略敏感文件	含加密密码，用gpp-decrypt解密，对应 MS14-025 漏洞
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Terminal Server Client\Default.rdp	保存 RDP 登录记录	输出远程桌面记录