1.工作组信息收集

拿到受害者主机权限，进入内网后首先要对受害者主机以及当前的内网信息进行收集

windows命令

本机信息收集
查询网络配置 ipconfig/all

查询用户列表
查看本机用户列表 net user
本机管理员（通常含有域用户）net localgroup administrator
查看当前在线用户 query user || qwinsta

查询进程列表
查看是否安装杀毒软件、vpn之类的服务
tasklist /v
wmic process list brief

获取操作系统和版本信息
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"

查看安装软件以及版本，路径等
wmic product get name,version

powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

查询端口列表
netstat -ano

查询补丁列表
Systeminfo
wmic qfe get Caption,Description,HotFixID,Installed0n

查询本机共享
net share
net share \\hostname
wmic share get name,path,status

查询当前权限
whoami /all 获取域SID
net user XXX /domain 查询指定账户的详细信息

域内信息收集

2.域内信息收集

判断是否有域

ipconfig /all
systeminfo 如果是wordgroup就不在域中
net config workstation
net time /domain

1.存在域，当前用户不是域用户
2.存在域，当前用户是域用户
3.不存在域

域内存活主机探测

利用netbios快速探测内网
工具：Nbtscan
使用方法：nbtscan.exe <ip>

ping命令
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL=“

vbs脚本
cscript icmp.vbs

利用arp扫描完整探测内网
工具：
1.arp-scan 命令：Arp.exe -t <ip>
2.invoke-ARPScan.ps1
3.Empire中的arpscan模块

利用常规 tcp / udp 端口扫描探测内网
工具： scanline

scanline.exe -h -t 22,80-89,110,389,445,3389,1099,1433,2049,6379,7001,8080,1521,3306,3389,5432 -u 53,161,137,139 -O c:\windows\temp\sl_res.txt -p 192.168.116.1-254 /b

域内基础信息收集
只有域用户可执行命令
net view /domain 查询域
net view /domain:<域名称> 查询域内的电脑
net group /domain 查询域中所有用户组

查询域管理员用户组
net group "domain admins" /domain
net group "Enterprise Admins" /domain

查询所有域用户的列表
net user /domain
wmic useraccount get /all
dsquery user
net localgroup administrators /domain