渗透测试的实质是信息收集，我们大体上还可以将内部网络信息收集分成远程服务器信息收集、

域内信息收集、登录证书盗取、生存远程服务器检测、内部网络端口扫描5个步骤。
 

最常见的两个问题是:
 

我是谁？-whoami。
 

我在哪？-ipconfig/ifconfig。
 

获得服务器管理员权限时，我们总是迫不及待地想深入理解。
 

本机信息的收集。
 

1.查询帐户信息:
 

了解当前服务器的用户角色和用户权限，分辨是不是须要进一步提升管理权限。
 

win:whoami，netuser用户名和密码。
 

linux:whoami、id、cat/etc/shadow、cat/etc/passwd。
 

2.查询网络和端口信息。
 

按照目的服务器的IP地址/数据连接/有关IP地址，确定连接的网络状况。
 

win:ipconfig，netstat-ano。
 

ARP表:arp-a。
 

默认路由：routeprint。
 

查询cdn缓存纪录指令:ipconfig/displaydns。
 

linux:ifconfig，netstat-anplt。
 

ARP表：arp-a/默认路由：route-n。
 

查询登录日志获得登录源ip。
 

3.查询流程列表。
 

查询本地运行的全部流程，确定本地软件的运行状况，重点关注安全软件。
 

win:tasklist。
 

linux：ps、top。
 

4.查询系统和补丁信息。
 

获得当前服务器的系统版本和补丁更新情况，还可以帮助提高管理权限。
 

win:systeminfo，查询系统信息/补丁安装情况。
 

wmicqfegetCaption、description、HotfixID、installedOn//查询补丁信息，包含说明链接/补丁

说明/KB编号/更新时间等信息。
 

wmicqfelistfull查询全部信息。
 

Linux：通过查询内核版uname-a或使用rpm-qa查询安装了哪些软件包。
 

5.收集证明书。
 

服务器方面有敏感的信息，通过收集各种登录证明书来扩大战果。
 

Windows:
 

本地密码Hash和明确密码/捕获浏览器密码/服务方明确密码。
 

linux:
 

history纪录敏感操作/shadow文件解读/mimipenguin抓取密码/使用Strace收集登录证书/全面搜

索敏感信息。
 

收集域内的信息。
 

收集远程服务器相关信息后，须要分辨当前服务器是不是在域内，在域内须要进一步收集域内

信息。
 

1.分辨是不是有域。
 

一般的域名服务器作为时间服务器同时使用以下指令来分辨域名。
 

运行nettime/domain这个指令后，一般有以下3种情况
 

1.域名存在，但目前用户不是域名用户，提示说明管理权限不足。
 

c:\users>bypass>nettime/domain。
 

发生系统错误5。
 

拒绝访问。
 

2.存在域，现在的用户是域用户。
 

c:\users\administrator>nettime/domain。
 

\\dc.test.com当前时间为2020/10/2321:18:37。
 

指令成功完成。
 

3.现在的网络环境是工作组，不存在域。
 

c:\users\administrator>nettime/domain。
 

域WORKGROUPOUP的域控器。
 

2.找到域经理。
 

netuser/domain//获得域名用户列表。
 

netgroup/domain//查询域内所有用户组列表。
 

netgroupDomainAdmins/domain//查询域管理员用户。
 

netgroup“DomainControllers”/domain//查询域控制器。
 

netlocalgroupadministrators/domain//查询域内置本地管理员用户。
 

3.找到域名控制。
 

一般来说，域名控制服务器IP地址是DNS服务器地址，如果找到DNS服务器地址，还可以定位
域名控制。nslookup/ping域名分析了域名控制服务器的IP地址。