滲透測試的本質是信息收集，我們可以將內網信息收集大致分為5個步驟，即本機信息收集、域內信息收集、登錄憑證竊取、存活主機探測、內網端口掃描。

最常見的兩個問題就是：

• 我是誰?-- whoami
• 我在哪?-- ipconfig/ifconfig

當獲取一臺主機的管理員權限的時候，我們總是迫不及待想要去深入了解一下。

本機信息收集

1. 查詢賬戶信息：

對當前主機的用戶角色和用戶權限做了解，判斷是否需要進一步提升權限。

win：whoami、net user 用戶名 
linux：whoami、id、cat /etc/shadow、cat /etc/passwd 

2. 查詢網絡和端口信息

根據目的主機的IP地址/網絡連接/相關網絡地址，確認所連接的網絡情況。

win：ipconfig、netstat -ano 
        ARP表：arp -a  
        路由表: route print 
        查看dns緩存記錄命令：ipconfig/displaydns 
 
linux：ifconfig、netstat -anplt 
        ARP表:arp -a / 路由表:route -n 
        查看登錄日志獲取登錄來源ip 

3. 查詢進程列表

查看本地運行的所有進程，確認本地軟件運行情況，重點可以關注安全軟件。

win：tasklist  
linux: ps、 top 

4. 查詢系統和補丁信息

獲取當前主機的系統版本和補丁更新情況，可用來輔助提升權限。

win：systeminfo，查詢系統信息/補丁安裝情況。 
       wmic qfe get Caption,description,HotfixID,installedOn   //查詢補丁信息，包含說明鏈接/補丁描述/KB編號/更新時間等信息 
       wmic qfe list full  查詢全部信息 
 
Linux: 通過查看內核版本 uname -a 或者使用rpm -qa來查詢安裝了哪些軟件包 

5. 憑證收集

服務器端存有敏感信息，通過收集各種登錄憑證以便擴大戰果。

Windows： 
本地密碼Hash和明文密碼/抓取瀏覽器密碼/服務端明文密碼 
linux： 
history記錄敏感操作/shadow文件破解/mimipenguin抓取密碼/使用Strace收集登錄憑證/全盤搜索敏感信息 

域內信息收集

搜集完本機相關信息后，就需要判斷當前主機是否在域內，如果在域內，就需要進一步收集域內信息

1. 判斷是否有域

一般域服務器都會同時作為時間服務器，所以使用下面命令判斷主域

運行 net time /domain 該命令后，一般會有如下三種情況: 
 
1.存在域，但當前用戶不是域用戶，提示說明權限不夠 
  C:\Users>bypass>net time /domain 
  發生系統錯誤 5  
  拒絕訪問。 
 
2.存在域，并且當前用戶是域用戶 
   C:\Users\Administrator>net time /domain 
   \\dc.test.com 的當前時間是 2020/10/23 21:18:37 
 
   命令成功完成。 
 
3.當前網絡環境為工作組，不存在域 
   C:\Users\Administrator>net time /domain 
   找不到域 WORKGROUP 的域控制器。 

2. 查找域管理員

net user /domain //獲取域用戶列表 
net group /domain  //查詢域內所有用戶組列表 
net group “Domain Admins” /domain //查詢域管理員用戶 
net group "Domain Controllers" /domain  //查看域控制器 
net localgroup administrators /domain  //查詢域內置本地管理員組用戶 

3. 找到域控

一般來說，域控服務器IP地址為DNS服務器地址，找到DNS服務器地址就可以定位域控。

nslookup/ping 域名,解析到域控服務器IP地址