Ну обычно корпаративная сеть и интернет связанны через роутер, аппаратный, чаще это компьютер с установленным софтом, который выполняет функции роутера и одновременно брандмауэра. Если известен только сайт в первую очередь надо попробовать определить версию системы и движок сайта. При этом можно использовать фингерпринт, а лучше сканнеры безопасности. Далее получив доступ к этому серверу (где стоит вебсервер) надо определить где он находится, внутри корпоративной сети, т.е. за роутером и брандмауэром или во внешней. Часто это первый вариант. Далее идёт захват сервера (поднятие прав до рута) установка необходимого софта и исследование внутренней корпаративной сети.
Я бы начал с комманды tracert, чтоб посмотреть что надохится перед целевым сервером. Общей схемы как таковой нет, всё зависит от топологии и организации корпоративной сети. Общий алгоритм таков, берём IP и определяем открытые порты, далее по отискам определяем сервисы, которые висят на этих портах, далее выявляем уязвимые сервисы, либо ищем новые уязвимости на них.