2026-04-27 04:37:35 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统讲解OSCP考试中Windows渗透核心知识，强调AD域环境占40分必须掌握。详细拆解文件系统结构、高频命令（文件操作、系统信息、网络、服务管理、注册表）、NTFS权限特性及提权技巧，提供实战场景对应命令和目录路径，帮助考生规避常见错误。 综合评分： 85 文章分类： 渗透测试,红队,内网渗透,安全培训,CTF

cover_image

OSCP百日备考03｜Windows基础全拆解！AD域渗透+提权核心，考场90%的坑都在这

泷羽Sec-陌离

2026年4月2日 23:19 宁夏

在小说阅读器读本章

去阅读

OSCP百日备考03｜Windows基础全拆解！AD域渗透+提权核心，考场90%的坑都在这

别只死磕Linux了！OSCP考试40分AD域全靠它，零基础也能吃透

大家好，这里是[泷羽Sec—陌离]，OSCP百日备考系列第三期准时更新。

上一期我们把OSCP备考的Linux核心基础讲透了，后台收到很多宝子的留言，说终于搞懂了Linux该学什么、怎么练，但同时也问了一个高频问题：「学长，我是不是把Linux学明白就够了？Windows平时用的少，渗透里是不是用不上？」

今天必须给所有备考OSCP的人敲一个警钟：绝对不是！Windows基础不仅要学，还要学透，它直接决定了你能不能拿下OSCP考试里占40分的AD域环境，能不能跨过70分的及格线。

我见过太多备考的人踩了这个大坑：上来就死磕Kali Linux，把Linux命令、提权玩的滚瓜烂熟，结果一遇到Windows靶机直接懵了——连找个flag文件都要查半天命令，拿到低权限shell不知道该查什么信息，更别说提权、内网横向移动了。

要知道，OSCP考试里，AD域环境固定占40分，而AD域的底层，全是Windows服务器和终端；企业真实内网里，90%以上的办公终端、业务服务器，也都是Windows系统。说白了，Linux是你的攻击武器，而Windows是你最常面对的攻击目标。

今天这篇，我们不讲没用的理论堆砌，只讲OSCP考场100%会用到的Windows核心基础，每一个知识点、每一条命令，都给你讲清楚「考场里什么时候用、为什么重要」。哪怕你平时很少用Windows，看完也能搞懂渗透测试里的Windows核心逻辑，直接落地到靶场练习里。

一、先搞懂：为什么OSCP备考，Windows基础绝对不能跳过？

很多人觉得，渗透测试用Kali Linux就够了，Windows学不学无所谓，这是OSCP备考里最致命的误区。

给大家算一笔账，你就知道它有多重要：

考试核心分值绑定：OSCP考试里，AD域环境固定占40分，而AD域完全基于Windows系统搭建，域内的所有主机、服务器、权限体系，全是Windows的底层逻辑。不懂Windows基础，域渗透根本无从下手，相当于直接放弃了近一半的分值。
渗透实战高频目标：不管是考试靶机，还是真实的企业内网渗透，Windows都是最常见的目标。从边界打点后的Windows提权，到内网横向移动、权限维持，全靠Windows基础撑着。
提权核心考点全覆盖：OSCP里Windows靶机的提权，90%都围绕着Windows的权限系统、服务配置、计划任务、注册表这些基础内容。不懂这些，哪怕你拿到了shell，也找不到提权的突破口。
考场丢分重灾区：太多人Linux学的很扎实，遇到Windows靶机就抓瞎，连最基础的查系统信息、看用户权限都要查资料，白白浪费考场时间，甚至明明有清晰的攻击路径，却栽在基础操作上。

一句话总结：Windows基础，是OSCP备考里躲不开、绕不过的核心内容，更是你从「会用工具的脚本小子」，变成「能实战的渗透测试工程师」的关键一步。

二、Windows文件系统：搞懂结构，靶机里不迷路

和Linux一切皆文件的根目录结构不同，Windows以盘符为核心，用字母区分驱动器（比如最常见的C:、D:），系统默认安装在C盘，绝大多数渗透操作，也都围绕C盘展开。

不用记全所有目录，把这些考场里必翻的目录记牢，找flag、找敏感信息、找提权线索就不会迷路：

渗透必知的NTFS文件系统特性

Windows主流的文件系统是NTFS，它的几个特性，是OSCP里的高频考点：

细粒度NTFS权限：和Linux的ugo权限不同，NTFS可以给不同用户、不同组设置更精细的访问权限，很多Windows提权，都是利用了文件/目录的权限配置错误；
交替数据流（ADS）：可以在文件里隐藏数据，是Windows里最常用的文件隐藏手法，不管是找靶机里的隐藏flag，还是后期做权限维持留后门，都会用到；
符号链接/硬链接：和Linux的链接文件类似，经常被用来做权限绕过、文件读取的提权操作；
文件属性：只读、隐藏、系统、归档等，用dir /a才能看到隐藏文件，找flag的时候必用。

三、Windows核心命令：OSCP考场必用，分场景全整理

Windows的命令行工具主要分两种：传统的CMD命令行，和功能更强大的PowerShell。OSCP考试里，很多场景CMD会被限制，PowerShell是主流，所以两者都要掌握。

我们不罗列冷门命令，只按渗透场景，整理考场里100%会用到的高频命令，每一条都给你讲清楚实战用途。

文件操作命令（找flag、传文件必用）

这是你拿到Windows shell后，做的最多的操作，找flag、看配置、传exp全靠它：

:: 【考场必敲】列出当前目录所有文件，包括隐藏文件、系统文件
dir /a

:: 递归显示当前目录及所有子目录的文件，找flag的时候全盘遍历用
dir /s

:: 切换目录，和Linux的cd用法基本一致
cd 目录名
:: 切换到当前盘符的根目录
cd \
:: 返回上一级目录
cd..

:: 复制文件
copy 源文件 目标文件
:: 递归复制整个目录及子目录，复制文件夹用
xcopy /s /e 源目录 目标目录

:: 移动/重命名文件
move 原文件 目标路径/新文件名

:: 【谨慎使用】强制安静删除文件，不会弹出确认提示
del /f /q 文件名

:: 创建目录
mkdir 目录名
md 目录名

:: 【谨慎使用】递归强制删除目录及所有内容，误删会直接破坏靶机
rmdir /s /q 目录名

:: 查看文件内容，对应Linux的cat命令
type 文件名

:: 分页查看大文件内容，对应Linux的more命令
more 文件名

:: 在文件中搜索字符串，对应Linux的grep命令，找敏感关键词必用
findstr /i "关键词" 文件名
:: /i 表示忽略大小写，搜索的时候必加

系统信息&权限命令（提权第一步必敲）

拿到Windows低权限shell后，第一件事就是收集系统信息、查看当前用户权限，找提权的突破口，这些命令每一台Windows靶机都要敲一遍：

:: 【必敲】显示系统详细信息，包括系统版本、内核版本、补丁情况、主机名、域信息
:: 系统补丁号直接决定了能用什么内核漏洞提权，必看
systeminfo

:: 【提权核心】查看当前用户名
whoami
:: 【重中之重】查看当前用户拥有的特权，比如SeImpersonatePrivilege这类提权必备的特权，每台靶机必敲
whoami /priv
:: 查看当前用户所属的组，比如是不是在管理员组、远程桌面组里
whoami /groups

:: 查看系统所有用户账户
net user
:: 查看指定用户的详细信息，包括用户权限、所属组、密码过期时间
net user 用户名

:: 查看系统所有本地组
net localgroup
:: 查看管理员组的成员，找域内/本地管理员账号
net localgroup Administrators

:: 【提权常用】把用户添加到管理员组，拿到管理员权限后创建后门用户用
net localgroup Administrators 用户名 /add

:: 查看系统所有运行的进程，对应Linux的ps命令
tasklist
:: 查看进程和对应的服务、PID，找以system权限运行的服务，提权突破口
tasklist /svc

:: 【谨慎使用】强制终止指定PID的进程，杀杀毒软件、卡死的进程用
taskkill /f /pid 进程PID
:: 按进程名强制终止进程
taskkill /f /im 进程名.exe

:: 查看系统所有计划任务，找提权用的定时任务，很多靶机的提权点都在这
schtasks /query

网络命令（内网渗透、横向移动必用）

信息收集、反弹shell、内网横向移动、端口扫描，全靠这些命令，尤其是AD域渗透的时候，高频使用：

:: 【必敲】查看本机IP地址、子网掩码、网关、DNS等网络配置
ipconfig
:: 查看详细的网络配置，包括MAC地址、主机名、DHCP信息、网卡信息
ipconfig /all
:: 清除本地DNS缓存，域名解析出问题的时候用
ipconfig /flushdns

:: 【信息收集核心】查看所有网络连接、监听端口、对应的进程PID，对应Linux的netstat -ano
:: 找靶机开放的内网端口、和域内其他主机的连接，必用
netstat -ano

:: 测试和目标主机的网络连通性，对应Linux的ping
ping 目标IP/域名

:: 跟踪到目标的网络路径，对应Linux的tracert
tracert 目标IP/域名

:: DNS查询，对应Linux的nslookup/dig
nslookup 域名

:: 查看局域网内的计算机共享资源
net view
:: 查看指定主机的共享文件夹，找域内共享的敏感文件
net view \\目标主机名/IP

:: 查看本机的共享文件夹
net share
:: 创建共享文件夹，内网传文件用
net share 共享名=文件夹路径
:: 删除共享
net share 共享名 /delete

:: 【横向移动常用】把远程主机的共享文件夹映射为本地Z盘
net use Z: \\目标主机IP\共享名
:: 删除映射的网络驱动器
net use Z: /delete

:: 查看Windows防火墙状态
netsh advfirewall show allprofiles
:: 【考场常用】关闭所有防火墙配置文件，反弹shell被防火墙拦的时候用
netsh advfirewall set allprofiles state off
:: 添加入站规则，放行指定端口
netsh advfirewall firewall add rule name="Allow Port" dir=in action=allow protocol=TCP localport=端口号

服务管理命令（Windows服务提权核心）

Windows服务提权，是OSCP里最常见的Windows提权方式，没有之一。这些命令，就是你找服务提权漏洞的核心工具：

:: 【必敲】列出系统所有服务的状态、名称、PID
sc query
:: 查看指定服务的详细配置，包括可执行文件路径、启动类型、运行用户
:: 【重中之重】服务的binpath路径，是服务提权的核心，必查
sc qc 服务名

:: 启动/停止指定服务
sc start 服务名
sc stop 服务名

:: 【提权核心】修改服务的可执行文件路径，服务路径劫持提权必用
sc config 服务名 binpath= "要执行的恶意程序路径"

:: 用net命令启动/停止服务，和sc命令效果一致
net start 服务名
net stop 服务名

注册表操作命令（信息收集、权限维持必用）

Windows注册表存放着系统、软件的所有配置信息，不管是找开机启动项、系统配置，还是后期做权限维持留后门，都会用到注册表操作：

:: 查询指定注册表项的值，比如查开机启动项
reg query 注册表路径
:: 示例：查询本地机器的开机启动项
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
:: 示例：查询当前用户的开机启动项
reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

:: 添加注册表项和键值，留开机启动后门常用
reg add 注册表路径 /v 键名 /t 数据类型 /d 数据
:: 示例：添加一个开机启动项
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "backdoor" /t REG_SZ /d "C:\Windows\Temp\backdoor.exe"

:: 删除注册表项/键值
reg delete 注册表路径 /v 键名

四、Windows权限系统：OSCP提权的灵魂考点

毫不夸张地说，OSCP里90%的Windows提权，都围绕着Windows权限系统的漏洞和配置错误展开。和Linux的ugo权限体系不同，Windows的权限系统更复杂，也更精细，我们只讲渗透里最核心的内容。

核心用户与内置组

Windows的用户分为三类，渗透里重点关注前两类：

管理员（Administrator）：系统最高权限用户，完全控制系统，我们提权的最终目标，就是拿到管理员权限；
标准用户：普通用户，只有有限的系统访问权限，也是我们拿到shell后最常见的用户权限；
访客（Guest）：最小权限用户，实战里很少遇到。

而内置组，决定了用户的权限范围，渗透里必记的几个核心组：

Administrators：管理员组，组内的所有用户都拥有系统完全控制权限，提权的核心目标就是把自己的用户加进这个组；
Users：标准用户组，普通用户默认在这个组里，只有基础的权限；
Remote Desktop Users：远程桌面用户组，组内的用户可以通过RDP远程登录主机，横向移动的时候常用；
Backup Operators：备份操作员组，组内用户可以备份/恢复系统里的所有文件，哪怕没有读取权限，也是提权的常用突破口。

用户账户控制（UAC）

UAC是Windows的安全机制，简单来说，哪怕你用管理员账户登录系统，执行高权限操作的时候，也会弹出确认窗口，防止恶意程序静默获取高权限。

对渗透测试来说，UAC是我们从本地管理员到系统完全控制的一道坎，很多时候我们拿到了管理员组的用户shell，却因为UAC的限制，执行不了高权限操作，这时候就需要用到UAC绕过技术，也是OSCP里的高频考点。

访问控制列表（ACL）

ACL是Windows权限系统的核心，它定义了不同用户、不同组，对一个文件、目录、注册表项、服务等对象的访问权限，比如读取、写入、执行、完全控制等。

很多Windows提权，都是利用了ACL的配置错误：比如一个以System权限运行的服务，它的可执行文件，普通用户居然有写入权限；或者一个系统关键目录，普通用户有完全控制权限。这些配置错误，都是我们提权的绝佳突破口。

查看和修改ACL的核心命令是icacls：

:: 查看指定文件/目录的ACL权限配置，找权限配置错误必用
icacls 文件/目录路径

:: 给指定用户授予文件的读写权限
icacls 文件路径 /grant 用户名:(R,W)

:: 拒绝指定用户对文件的完全控制权限
icacls 文件路径 /deny 用户名:(F)

特殊权限（Windows特权）

这是Windows提权里最核心的考点，没有之一。特权是Windows给用户/进程分配的特殊系统权限，很多特权可以直接被用来提权，拿到System权限。

OSCP考场里，最常见的可提权特权，一定要记牢：

SeImpersonatePrivilege：允许进程模拟客户端，最经典的Potato系列提权（烂土豆、甜土豆），就是利用这个特权，也是Windows靶机里最常见的提权方式；
SeDebugPrivilege：允许调试任意进程，可以注入代码到System权限的进程里，直接获取高权限；
SeTakeOwnershipPrivilege：允许获取任意文件/对象的所有权，哪怕没有权限，也能接管系统关键文件；
SeBackupPrivilege/SeRestorePrivilege：允许备份/恢复任意文件，可以绕过权限读取系统敏感文件（比如SAM文件，存放用户密码哈希），甚至写入系统文件提权。

查看当前用户拥有的特权，就用我们前面说的whoami /priv命令，拿到shell后必敲。

五、Windows服务、进程与启动项：提权+权限维持核心

Windows服务

Windows服务是后台运行的程序，很多服务会以System最高权限运行，这也是为什么服务提权是OSCP里最常见的提权方式。

服务的所有配置，都存在注册表的HKLM\SYSTEM\CurrentControlSet\Services路径下，我们用sc命令就可以查询和修改。

渗透里最常见的服务提权方式：

服务路径劫持：服务的可执行文件路径没有加引号，或者路径里有空格，我们可以构造恶意程序劫持；
服务权限配置错误：普通用户有权修改服务的binpath路径，把它改成我们的恶意程序；
服务可执行文件权限错误：普通用户有权修改服务的可执行文件，直接替换成恶意程序。

进程管理

除了前面的tasklist、taskkill命令，渗透里还会用到wmic命令，它可以查询更详细的进程信息，也是Windows里默认自带的WMIC管理工具：

:: 查看所有进程的名称、PID、父进程PID，找进程父子关系，提权必用
wmic process get name,processid,parentprocessid

:: 终止指定名称的进程
wmic process where name="进程名.exe" call terminate

启动项与计划任务

启动项和计划任务，不仅是提权的突破口，也是权限维持的核心方式。OSCP里，很多靶机的提权点，就是一个普通用户有权修改的开机启动项、或者以高权限运行的计划任务。

Windows里的启动项主要有三个位置：

注册表启动项：

系统级启动项（所有用户生效）：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
用户级启动项（当前用户生效）：HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

启动文件夹：

系统级启动文件夹：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
用户级启动文件夹：C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

计划任务：用schtasks /query命令查看，很多高权限运行的计划任务，执行的脚本普通用户有权修改，直接就能提权。

六、Windows网络配置：内网渗透+横向移动必备

网络接口与防火墙

除了前面的ipconfig、netsh命令，渗透里还要注意：Windows防火墙默认会拦截大部分入站连接，我们反弹shell、开启监听端口的时候，经常会被防火墙拦下来，这时候要么添加放行规则，要么直接关闭防火墙（考场靶机里常用）。

网络共享与远程访问

Windows的网络共享（SMB协议），是内网横向移动的核心通道，也是AD域渗透里最常用的协议。我们用net share、net use命令，就可以查看、连接域内主机的共享文件夹，找敏感文件、传递工具、甚至上传恶意程序。

而远程访问，是我们横向移动到目标主机后，获取持久化控制的常用方式：

远程桌面（RDP）：Windows自带的远程桌面工具，默认端口3389，用mstsc命令打开客户端，只要目标主机开了RDP，且我们的用户在Remote Desktop Users组里，就能远程登录，拿到图形化界面；
PowerShell远程处理：PowerShell自带的远程管理功能，只要目标主机开了WinRM服务，我们就可以用Enter-PSSession创建交互式会话，或者用Invoke-Command在远程主机上执行命令，是内网横向移动的主流方式。

七、OSCP备考Windows基础避坑指南（过来人忠告）

别只记命令，不搞懂权限逻辑我见过太多人，背了一肚子Windows命令，但是连ACL、Windows特权都搞不懂，遇到Windows靶机，只会机械地敲命令，根本找不到提权的突破口。Windows提权的核心，永远是权限配置错误，先把权限系统的底层逻辑搞懂，比背100条命令都有用。
别忽略PowerShell，只学CMD命令现在的Windows靶机里，很多场景CMD会被限制、甚至禁用，PowerShell是绝对的主流。而且PowerShell的功能比CMD强大太多，不管是信息收集、漏洞利用、还是内网横向移动，都比CMD好用太多，备考的时候一定要重点练PowerShell。
别死记硬背，一定要实操所有命令、所有知识点，必须在Windows虚拟机里亲手敲一遍，亲手操作一遍。比如用sc命令创建一个服务，看看修改binpath会发生什么；用icacls命令修改文件权限，看看权限配置的效果。只有亲手操作过，考场里遇到才不会慌，形成肌肉记忆。
重点抓提权相关的内容，别抓小放大OSCP备考Windows基础，核心目标是应对考试里的Windows靶机提权、AD域渗透。所以重点要放在「权限系统、服务配置、计划任务、特权、网络命令」这些和提权、内网渗透强相关的内容上，不用去啃那些和渗透无关的Windows底层原理，抓重点才能高效备考。
别把Linux的思维硬套在Windows上很多人学Windows的时候，总想着「这个命令对应Linux的哪个命令」，这没问题，但千万别把Linux的权限思维硬套在Windows上。Windows的ACL、特权、UAC，和Linux的权限体系完全不一样，一定要用Windows的逻辑去理解它，不然很容易走进死胡同。

写在最后

最后，必须给大家敲一个最严肃的警钟：本文所有内容，仅用于OSCP认证备考、授权靶场的学习交流使用。所有相关技术，只能在官方授权、你拥有合法测试权限的靶场、系统中使用，未经授权对任何网站、系统进行测试、攻击，都是违法行为。网络不是法外之地，请大家严格遵守《中华人民共和国网络安全法》等相关法律法规，坚守法律底线。

按照我们的OSCP百日备考计划，第一阶段的第8-14天，核心任务就是把Windows基础吃透。建议大家花一周的时间，搭一个Windows虚拟机，把本文里的所有命令、知识点都亲手实操一遍，把核心内容练熟，为后面的Windows提权、AD域渗透打好基础。

下一期，我们会给大家更新OSCP备考里网络基础知识、实战技巧，帮大家彻底搞定这一块的知识点。

不想错过的话，记得星标公众号，关注我们，第一时间拿到最干的OSCP备考干货。

关于Windows基础，你还有什么不懂的？或者备考过程中遇到了什么靶场卡点，都可以在评论区留言，我会一一回复。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：泷羽Sec-陌离《OSCP百日备考03｜Windows基础全拆解！AD域渗透+提权核心，考场90%的坑都在这》