mac远程桌面连接windows_获得Windows系统的远程桌面连接历史记录

最新推荐文章于 2023-08-20 13:54:26 发布
最新推荐文章于 2023-08-20 13:54:26 发布
阅读量167 收藏
点赞数
文章标签: mac远程桌面连接windows 怎么把远程桌面连接的用户名记录下来 无法发出查询:未能连接到 host monitor

在渗透测试中,远程桌面连接的历史记录不可忽视,根据历史记录往往能定位出关键的服务器。

最开始的设想是通过枚举注册表就能够完成,但深入研究发现,想要获得所有用户的历史记录,需要逐个获得用户的NTUSER.DAT文件,通过注册表加载配置单元,导入用户配置信息,再进行枚举才能够实现。

本文内容:

1.获得历史记录的思路
2.导出登录用户的历史记录
3.导出所有用户的历史记录
4.两种方法的实现思路和脚本编写细节

获得远程桌面连接历史记录的思路

1、获得当前用户的历史记录:

枚举注册表键值HKCU:SoftwareMicrosoftTerminal Server ClientServers

每个注册表项保存连接的服务器地址,其中的键值UsernameHint对应登录用户名

如下图

43043ce0363288e8049c026432239240.png

2、获得已登录用户的历史记录:

已登录用户的注册表信息会同步保存在HKEY_USERSSID下,SID要对应每个用户的SID

当前系统登录两个用户,分别有两个子项,如下图

de84b97de2c115e3b560d7c81d1e3e26.png

注:

HKEY_USERS仅包含了缺省用户设置和登录用户的信息,
在用户未登录时用户的设置是不可用的
也就是说,如果当前登录了两个用户,
那么这两个用户的注册表信息都会保存在HKEY_USERSSID下,
如果第三个用户未登录,无法直接获得该用户的注册表信息,
也就无法导出该用户的远程桌面连接历史记录
所以,通过枚举注册表键值HKEY_USERSSIDSoftwareMicrosoftTerminal Server ClientServers能够获得已登录用户的远程桌面连接历史记录

3、获得所有用户的历史记录:

对于未登录用户,无法直接获得注册表配置信息,这里可以通过加载配置单元的方式来解决

选中HKEY_USERS项,文件-加载配置单元,如下图

f4876b7422b2c27cba4d958158c5af81.png

打开用户的NTUSER.DAT文件,路径为C:Documents and Settings用户名NTUSER.DAT

接着指定一个项名称,即可在HKEY_USERS下读取该用户的注册表配置信息,如下图

6910f8d16149f6c9306008d9bc248cc8.png

注:

删除该项需要通过卸载配置单元来清除
所以,想要获得所有用户的远程桌面连接历史记录,
首先需要枚举注册表键值HKEY_USERSSID,
对于未登录用户,需要加载对应的NTUSER.DAT文件,
再次枚举获得完整记录,最后卸载对应的注册表项

补充:

通过命令行实现加载配置单元的实例:

Reg load HKEY_USERSS-1-5-21-1170783345-3748964848-1387080272-1003 C:Documents and SettingscNTUSER.DAT

通过命令行实现卸载配置单元的实例:

Reg unload HKEY_USERSS-1-5-21-1170783345-3748964848-1387080272-1003

powershell实现细节

1、获得当前用户的历史记录

位置:HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers

枚举指定注册表项下的子项:

dir "Registry::HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" -Name

查询指定注册表项的注册表键值:

(Get-ItemProperty -Path "Registry::HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers192.168.62.137").UsernameHint

加入foreach循环实现枚举:

$RegPath = "Registry::HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
$QueryPath = dir $RegPath -Name
foreach($Name in $QueryPath)
{
    (Get-ItemProperty -Path $RegPath$Name).UsernameHint
}

加入捕获异常,不输出错误信息,如果查不到注册表键值,返回无法获得

完整脚本:

$RegPath = "Registry::HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
$QueryPath = dir $RegPath -Name
foreach($Name in $QueryPath)
{   
    Try  
    {  
        $User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop | Out-Null).UsernameHint
            Write-Host "Server:"$Name
            Write-Host "User:"$User"`n"
        }
        Catch  
        {
        Write-Host "No RDP Connections History"
        }
}

2、获得已登录用户的历史记录

位置:HKEY_USERSSIDSoftwareMicrosoftTerminal Server ClientServers

注:

SID对应每个用户的sid
首先需要枚举所有用户sid

powershell:

Get-WmiObject -Class Win32_UserAccount

wmi:

wmic /NAMESPACE:"rootCIMV2" PATH Win32_UserAccount GET /all  /FORMAT:list

枚举用户名及其对应的SID:

$AllUser = Get-WmiObject -Class Win32_UserAccount
​
foreach($User in $AllUser)
{
    Write-Host $User.Name":"$User.SID
}

将以上脚本结合,先枚举用户的SID,查询对应HKEY_USERS下的注册表项,再次枚举注册表键值项,获得完整结果:

(需要管理员权限)

$AllUser = Get-WmiObject -Class Win32_UserAccount
foreach($User in $AllUser)
{
    $RegPath = "Registry::HKEY_USERS"+$User.SID+"SoftwareMicrosoftTerminal Server ClientServers"
    Write-Host "User:"$User.Name
    Write-Host "SID:"$User.SID
    Write-Host "Status:"$User.Status
    Try  
        { 
        $QueryPath = dir $RegPath -Name -ErrorAction Stop
    }
    Catch
    {
        Write-Host "No RDP Connections History"
        Write-Host "----------------------------------"
        continue
    }
    foreach($Name in $QueryPath)
    {   
        Try  
            {  
                $User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop).UsernameHint
                Write-Host "Server:"$Name
                Write-Host "User:"$User
            }
            Catch  
            {
            Write-Host "No RDP Connections History"
            }
    }
    Write-Host "----------------------------------" 
}

注:

$User.Status表示帐户状态,
通过Get-WmiObject -Class Win32_UserAccount无法直接查询到,
可通过wmi命令获取: 
wmic /NAMESPACE:"rootCIMV2" PATH Win32_UserAccount GET /all  /FORMAT:list

3、获得所有用户的历史记录

加载配置单元的文件位置:

"C:Documents and Settings用户名NTUSER.DAT"

实现思路:

1 获得每个用户对应的SID,拼接对应的注册表键值”Registry::HKEY_USERS"+$User.SID+”SoftwareMicrosoftTerminal Server ClientServers"
2 如果读取失败,代表此用户未登录,接着尝试加载配置单元
3 拼接配置单元文件位置”C:Documents and Settings"+$User.Name+”NTUSER.DAT”
4 配置单元对应的注册表项以该用户的sid命名
5 枚举注册表获得历史记录
6 卸载注册表项

注:

需要新启动一个进程来卸载配置单元,否则提示失败
为了避免使用多个try catch捕获异常,代码结构作了改变,使用If Else作判断,完整实现代码可参考:
https://github.com/3gstudent/List-RDP-Connections-History

测试结果如下图

563e94a0c258c1dcd92552b1886bcbdf.png

两种方法的实现思路和脚本编写细节

ListAllUsers.ps1

<#
.SYNOPSIS
This script will list all users' RDP Connections History.
First use "reg load" to load hive.
Then read the RDP Connections History from HKEY_USERS.
Last you need to use "reg unload" to unload hive. 
The script automatically implements the above operation,there is no need for a GUI. :)
Author: 3gstudent@3gstudent
License: BSD 3-Clause
#>
$AllUser = Get-WmiObject -Class Win32_UserAccount
foreach($User in $AllUser)
{
    $RegPath = "Registry::HKEY_USERS"+$User.SID+"SoftwareMicrosoftTerminal Server ClientServers"
    Write-Host "User:"$User.Name
    Write-Host "SID:"$User.SID
    Write-Host "Status:"$User.Status
    $QueryPath = dir $RegPath -Name -ErrorAction SilentlyContinue
    If(!$?)
    {
        Write-Host "[!]Not logged in"
        Write-Host "[*]Try to load Hive"
        $File = "C:Documents and Settings"+$User.Name+"NTUSER.DAT"
        $Path = "HKEY_USERS"+$User.SID
        Write-Host "[+]Path:"$Path 
        Write-Host "[+]File:"$File
        Reg load $Path $File
        If(!$?)
        {
            Write-Host "[!]Fail to load Hive"
            Write-Host "[!]No RDP Connections History"
        }
        Else
        {
            $QueryPath = dir $RegPath -Name -ErrorAction SilentlyContinue
            If(!$?)
            {
                Write-Host "[!]No RDP Connections History"
            }
            Else
            {
                foreach($Name in $QueryPath)
                {   
                    $User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop).UsernameHint
                    Write-Host "Server:"$Name
                    Write-Host "User:"$User
                }
            }
            Write-Host "[*]Try to unload Hive"
            Start-Process powershell.exe -WindowStyle Hidden -ArgumentList "Reg unload $Path"       
        }
    }
    foreach($Name in $QueryPath)
    {   
        Try  
        {  
            $User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop).UsernameHint
            Write-Host "Server:"$Name
            Write-Host "User:"$User
        }
        Catch  
        {
            Write-Host "[!]No RDP Connections History"
        }
    }
    Write-Host "----------------------------------" 
}

ListLogged-inUsers.ps1

<#
.SYNOPSIS
This script will list the logged-in users' RDP Connections History.
Author: 3gstudent@3gstudent
License: BSD 3-Clause
#>
$AllUser = Get-WmiObject -Class Win32_UserAccount
foreach($User in $AllUser)
{
    $RegPath = "Registry::HKEY_USERS"+$User.SID+"SoftwareMicrosoftTerminal Server ClientServers"
    Write-Host "User:"$User.Name
    Write-Host "SID:"$User.SID
    Write-Host "Status:"$User.Status
    Try  
        { 
        $QueryPath = dir $RegPath -Name -ErrorAction Stop
    }
    Catch
    {
        Write-Host "No RDP Connections History"
        Write-Host "----------------------------------"
        continue
    }
    foreach($Name in $QueryPath)
    {   
        Try  
            {  
                $User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop).UsernameHint
                Write-Host "Server:"$Name
                Write-Host "User:"$User
            }
            Catch  
            {
            Write-Host "No RDP Connections History"
            }
    }
    Write-Host "----------------------------------" 
}

小结

本文介绍了如何通过powershell获得Windows系统的远程桌面连接历史记录,需要注意的是无法直接获得未登录用户的注册表配置信息(可以加载配置单元解决)。根据远程桌面连接历史记录,往往能定位出关键的服务器。

参考:

渗透技巧——获得Windows系统的远程桌面连接历史记录

渗透技巧——获得Windows系统的远程桌面连接历史记录​3gstudent.github.io https://github.com/3gstudent/List-RDP-Connections-History​github.com
weixin_39715460
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
macbook远程控制CentOS服务器
IrismoonWang的专栏
02-01 955
背景 我用的是macbook Catalina 系统,远程控制实验室的CentOS服务器,需要能够返回图形界面。查到的方法有以下几种:直接在mac terminal ssh -X user@server (测试显示非常慢,而且只能返回启动程序的图形界面,而不能返回全部桌面环境); 使用X2GO(可以返回全部桌面环境,而且较快);使用VNC。我一共测试了前两种方法。以下分别介绍遇到的一些小的细节问题...
查看域内RDP连接记录获取密码
weixin_43873557的博客
02-08 1317
https://github.com/3gstudent/List-RDP-Connections-History.git powershell -exec bypass ./ListAllUser.ps1 本地RDP连接密码解密 • Mimikatz 查看本地机器本地连接过的目标机器: reg query “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /s 查看本地用户此目录下是否存有RDP密码文件: dir /
Python-获得Windows系统的远程桌面连接历史记录
08-10
使用powershell列出登录用户或所有用户的RDP连接历史记录
记录远程桌面登录者的IP和MAC
weixin_34228662的博客
12-25 398
WINDOWS 2003 远程桌面不能记录登陆IP真是件头痛的事,本方法可以记录登陆者IP,具体的操作步骤如下: 1、建立一个存放日志的目录,如C盘下建立一个RDP的目录“C:/RDP”。 2、然后在“C:/RDP”目录下创建一个名字为“RDPlog.txt”的文本文件“C:/RDP/RDPlog.txt”。 3、然后在“C:/RDP”目录下创建一个名字为“RDPlog.bat”的批处理文件,内...
内网渗透测试:获取远程桌面连接记录与 RDP 凭据
qq_53058639的博客
08-20 771
Windows 远程桌面是用于管理 Windows服务器的最广泛使用的工具之一。管理员喜欢使用远程桌面,攻击者也喜欢使用(狗头)。在之前的文章中我们已经介绍了很多攻击远程桌面的方法,本篇文章我们继续来探究。在渗透测试中,RDP远程桌面连接历史记录不可忽视,根据历史连接记录我们往往能够定位出关键的服务器。并且,当我们发现了某台主机上存在远程桌面连接记录,我们还可以想办法获取其远程桌面登录历史连接凭据。用于登录RDP 远程桌面会话的凭据通常具有特权,这使它们成为红队操作期间的完美目标。
windowsnt 技术内幕
04-09
调协系统管理告警(Administrative Alert) 向用户发送系统管理消息 远程关闭一台Windows NT计算机 使用Windows NT系统属性对话框 Windows NT诊断程序(Diagnostic)简介 使用Windows NT诊断程序打印一份报告 在Windows ...
EvilOSX:适用于macOS OS X的邪恶RAT(远程管理工具)
02-02
产品特点模拟终端实例简单的可扩展系统没有机器人依赖性(纯python) 未被防病毒检测到(OpenSSL 加密的有效负载) 持久的GUI和CLI支持检索Chrome密码检索iCloud令牌和联系人检索/监视剪贴板检索浏览器历史记录...
C#.net_经典编程例子400个
05-17
130 实例095 使用ErrorProvider组件验证文本框输入 130 实例096 利用ErrorProvider组件查看数据集中的错误 132 3.3 EventLog组件 134 实例097 使用EventLog组件读写Windows系统事件日志 134 ...
CuteFTP9简易汉化版
04-11
文件夹Navigation-Navigate远程和本地文件夹使用鼠标,键盘,工具栏按钮时你会在你的Windows桌面或Explorer浏览文件夹。 文件夹Management-Create新文件夹重命名现有或删除未使用的文件夹。查看文件夹的属性和执行标准...
查询远程计算机的配置信息命令,MAC 连接远程服务器,及文件操作,常用终端命令大全...
weixin_30083369的博客
07-09 849
一、使用ssh连接远程主机会提示y/n 一路y之后提示输入密码输入密码,回车 这时候会出现连接成功提示,到这一步就已经成功连接到服务器了。下面我们说下文件操作二、服务器文件操作1.使用菜单中Shell 选择 “新建远程连接”2.进入“新建远程连接控制面板”后左侧服务选择“安全文件传输(sftp)”右侧服务器端添加需要连接的服务器ip地址,同时输入要使用的“用户”身份选择登录。会打开一个新的终端窗口...
获得Windows系统的远程桌面连接历史记录
weixin_30824277的博客
01-04 2168
转载:http://www.mottoin.com/tech/109219.html 渗透技巧—获得Windows系统的远程桌面连接历史记录 0x00 前言 在渗透测试中,远程桌面连接历史记录不可忽视,根据历史记录往往能定位出关键的服务器。 前几天有一篇文章介绍了如何清除记录,那么这篇文章就来介绍一下如何导出历史记录。 清除记录的文章地址如下: http://woshub...
Windows进行远程桌面连接后如何彻底删除远程记录
热门推荐
飞机火车巴雷特的博客
12-13 2万+
彻底删除Windows远程桌面连接记录
windows获取RDP连接记录
https://www.cnblogs.com/zpchcbd/
08-26 5718
0x01 获取RDP连接历史记录: 以下代码为3gStudent实现的获取连接记录的代码: <# .SYNOPSIS This script will list the logged-in users' RDP Connections History. Author: 3gstudent@3gstudent License: BSD 3-Clause #> $AllUser = Get...
windows 远程桌面连接(mstsc) 删除历史记录
柴钰棋的博客
09-24 5257
删除下拉框的记录 进入注册表编辑:win+R > regedit 按HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default的路径,删除除了“默认外的”,所有“MRU+数字”的项。 删除输入框的默认填充 打开当前用户的主文件夹>我的文档(My Documents),点选工具栏 组织>查看找到隐藏文件和文件夹,选择显示隐藏的文件、文件夹和驱动器,确定以更改配置。然后会看到Default.rdp文件,删除它。然后更.
Windows系统如何删除远程桌面连接记录
酷小七的博客
06-12 1万+
按win+R键打开运行,输入regedit,如下图所示:
如何清除“远程桌面连接”的历史记录
jinwanmeng的专栏
06-14 9081
http://www.htmer.com/article/119.htm   我们有的时候可能用到Windows系统中的远程桌面工具,通过远程桌面可以登录到远程电脑上进行相应的操作,可是在登录过后会在本地电脑上留下登录过的IP以及登录用户名相关信息,可能会给远程的电脑带来安全隐患,下面介绍一下清除远程桌面历史记录的方法。     1、删除我的文档下的Default.rdp文件(该文件是隐藏
mac终端 ssh 上传文件_mac如何使用系统自带的终端进行远程连接上传和如何删除连接记录...
weixin_35991051的博客
01-02 2178
摘要mac系统和linux系统很类似,使用终端也和linux一样方便,所以苹果笔记本非常适合开发者,相比于windows系统,虽然也可以进行开发,但是windows系统的cmd控制台命令完全就是属于它自己特定的那一套,对于我们程序员来说,我们也一般用linux来部署网站,也很少用windows server来部署,总体来说,我们更倾向于本地操作系统和服务器操作系统都能用统一的语法来开发...
mac系统远程桌面连接记录删除
最新发布
11-17
要删除Mac系统中的远程桌面连接记录,可以按照以下步骤进行操作: 1. 打开Finder,点击顶部菜单栏的"前往",选择"前往文件夹"。 2. 在弹出的对话框中输入"~/.ssh"并点击"前往"。 3. 在打开的文件夹中,找到并打开"known_hosts"文件。该文件保存了所有已知的远程连接记录。 4. 找到你想要删除的远程桌面连接记录所对应的行,并删除该行。 5. 保存文件并关闭。 此时,你的Mac系统中的远程桌面连接记录已经被删除了。下次当你尝试连接该远程桌面时,系统将会重新生成一个新的连接记录。请注意,删除连接记录不会删除你的远程桌面应用程序或配置文件,只是清除了保存在电脑上的连接记录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值