渗透过程中常用的cmd命令

在web渗透测试过程中，当我们通过某个漏洞利用成功获取到webshell后，下一步便要通过webshell（通常是大马）进行提权或打包数据。由于webshell对远程服务器的操控，是通过命令行而非图形化界面实现的，因此，渗透过程中熟悉常用的命令十分有必要，本文总结了一些黑客入侵时常用的命令。今天先对于windows服务器（cmd命令）总结：

ipconfig /all              #查看ip地址等网卡配置

net user                    #查看当前系统有哪些用户

net  user xiaoming   #查看用户的基本信息，所属组  

net user xiaoming1 123456 /add       #添加新用户并设置密码

net user xiaoming1 /del                         #将用户xiaoming1删除   

net user  /domain    #该参数仅在 Windows NT Server 域成员的 Windows NT Workstation 计算机上可用。由此可以此判断用户是否是域成员。 

如果用户在域成员中时：                    

netstat -aon|findstr "80"   #查看80端口

tasklist |findstr "2448"   #查看2448进程

net group /domain                  #查看域中的组

net group "Domain Users" /domain       #查看域组"Domain Users"中的用户成员

在大型内网渗透过程中，域组中，有几个组需要特别关注：

（1）IT组/研发组                     他们掌握在大量的内网密码，数据库密码等。

（2）秘书组                             他们掌握着大量的目标机构的内部传达文件，为信息分析业务提供信息，在反馈给技术业务来确定渗透方向

（3）domain admins组           root/administrator

（4）财务组                             他们掌握着大量的资金往来与目标企业的规划发展，并且可以通过资金，来判断出目标组织的整体架构

（5）CXX组                             ceo cto coo等，不同的目标组织名字不同，如部长，厂长，经理等。

query user                               #查看当前在线的用户

net localgroup                         #查看所有的本地组

net localgroup administrators      

#查看administrators组中有哪些用户

net localgroup administratos xiaoming /add    

#将用户xiaoming添加到本地管理员组

whoami                 #查看当前用户及权限

systeminfo             #查看计算机信息（版本，位数，补丁情况）

ver                        #查看计算机操作系统版本

tasklist /svc            #查看当前计算机进程情况

netstat -ano           #查看当前计算机进程情况      

wmic product > ins.txt          #查看安装软件以及版本路径等信息，输出到ins.txt