這個(gè)小工具有點(diǎn)意思,做到了一鍵提取RDP登陸(成功�����、失?��。┤罩?����,省去了我們在事件中一行行的查找查看��,對現(xiàn)場勘驗(yàn)有用處��。雖然沒提供源碼����,但思路非常明確了,寫起來也不難����。就提供作者的Exe程序吧。
作者地址:
https://github.com/Adminisme/SharpRDPLog
Exe下載地:
鏈接:https://pan.baidu.com/s/14Lj08gnUcfcaphI0VwtY9w
提取碼:auao
簡介
說明
由于代碼比較簡單���,已經(jīng)編譯了.Net 3.5版本的可執(zhí)行文件�,需要的可以直接到releases下載���,下面主要分享和提供思路供大家參考�。
1����、查看本地rdp TCP端口
原理:通過讀取系統(tǒng)注冊表信息獲取rdp TCP端口。
注冊表Path:
計(jì)算機(jī)\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
2���、導(dǎo)出當(dāng)前用戶mstsc遠(yuǎn)程登錄服務(wù)器記錄
輸出:ip地址:端口
原理:通過讀取系統(tǒng)注冊表信息獲取mstsc緩存記錄���。
注冊表Path:
計(jì)算機(jī)\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default
3、導(dǎo)出本地所有用戶rdp登錄服務(wù)器記錄
輸出包括:ip地址�����、登錄用戶名
原理:通過調(diào)用WMI API接口獲取所有當(dāng)前系統(tǒng)所有用戶的Name���、SID���,通過系統(tǒng)注冊表依次讀取獲取該用戶登錄記錄,類似cmdkey /list功能����,區(qū)別于可以導(dǎo)出系統(tǒng)內(nèi)所有用戶記錄登錄信息���。
注冊表Path:
系統(tǒng)當(dāng)前用戶:
計(jì)算機(jī)\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers
系統(tǒng)全局用戶:
計(jì)算機(jī)\HKEY_USERS\{SID}\SOFTWARE\Microsoft\Terminal Server Client\Servers\
4、導(dǎo)出服務(wù)器被登錄事件����,獲取當(dāng)前服務(wù)器被登錄記錄
參考:https://github.com/uknowsec/SharpEventLog
輸出包括:時(shí)間、源IP地址����、域名、用戶名
原理:通過Win API 獲取windows事件安全日志中ID為4624�����、4625的事件�,提取事件中的關(guān)鍵信息。
Usage:
C:\Users\Trim>SharpRDPLog.exe
Usage: SharpRDPLog.exe -rdpport #本地RDP端口
SharpRDPLog.exe -rdp_History #當(dāng)前用戶的mstsc緩存和當(dāng)前用戶的cmdkey緩存
SharpRDPLog.exe -cmdkey #所有用戶的cmdkey緩存
SharpRDPLog.exe -4624 #登錄成功事件
SharpRDPLog.exe -4625 #登錄失敗事件
SharpRDPLog.exe -all #全部輸出
該文章在 2024/7/2 10:18:20 編輯過
400 186 1886
