Windows日志分析--rdp远程登录、暴破

最新推荐文章于 2024-07-03 09:18:16 发布
最新推荐文章于 2024-07-03 09:18:16 发布
阅读量1.3k 收藏 9
点赞数 10
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51876282/article/details/135748553
版权
本文详细介绍了如何在两台虚拟机间进行RDP远程登录暴破,包括开启Windows10远程桌面权限、使用Kali工具进行攻击,以及如何查看和分析Windows日志,推荐了evtxLogparse和Logfusion两种工具。
摘要由CSDN通过智能技术生成

一、准备工作

1.两台虚拟机

1台Windows10虚拟机,开启远程桌面登录权限

1台kali虚拟机,作为rdp暴破攻击方

2. 如何开启Windows10远程登录权限

点击左下角 开始-设置-系统-远程桌面,点击启用远程桌面

3.准备密码本

username.txt 和 password.txt ,这里为了能快速的暴破出来,可以使用小一点的密码本

二、RDP远程登录暴破

1.使用kali中自带的工具进行暴破

注意:一定要保证两台虚拟机可以ping通,否则就是瞎忙活啦

这里ip自然就是Windows的ip地址了

rdp 服务器通常不喜欢很多连接,使用 -t 1 或 -t 4 来减少并行连接的数量,使用 -W 1 或 -W 3 在连接之间等待以允许服务器恢复

hydra ip -L username.txt -P password.txt -V -t 1 -W 1 rdp://ip

这里可以看到暴破成功的用户名密码

三、查看Windows日志

Win+R,输入eventvwr.msc,查看日志,可以使用4624,4625分别筛选出登录成功和登录失败的日志

这样查看会比较乱,最好使用工具来进行查看

这里推荐两个工具:

1.evtxLogparse

这个工具需要先将日志导出,再分析,命令格式如下:

evtxLogparse -r success/fail (1.evtx)日志名  #筛选rdp登录成功或失败的日志
evtxLogparse -s success/fail (1.evtx)日志名  #筛选smb登录成功或失败的日志

2.Logfusion

可视化界面,用着很舒服,就是导入的时候比较慢,右上角Filter可以进行关键词筛选

weixin_51876282
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
powershell 登录 rdp_RDP登录日志取证和清除
weixin_39998903的博客
11-27 1232
点击上方“蓝字”关注公众号获取最新信息!本文作者:whoam1@奇安信首发地址:https://paper.seebug.org/1043这篇文章由Cream朋友whoam1@奇安信授权发布,在此表示感谢,关于其他方面的文章或者技术可以浏览whoam1的博客!后期我们也会持续更新WEB安全系列课程(从小白到“入狱”),0.0,希望多多关注支持。公众号可以搜索:贝塔安全实验室,谢谢,Cre...
远程桌面的连接登录日志记录
10-19
使用2003的远程桌面功能,可以创建登陆日志记录文件。
如何查看windows关机日志
daijingxin的博客
03-25 1580
当出现意外断电关机、系统崩溃时,出现此事件ID。,记录时间客户端状态信息,35表示更改时间源,36表示时间同步失败,37表示时间同步正常。,当发生TCP/IP地址冲突的时候,出现此事件ID,用来排查用户IP网络的问题。打开事件查看器下拉菜单,再打开Windows日志下拉菜单,点击系统。,表示非正常关机, 按ctrl、alt、delete键关机。,查看计算机的开机、关机、重启的时间以及原因和注释。,表示日志服务已启动,用来判断正常开机进入系统。,表示日志服务已停止,用来判断系统关机。
RDP日志溯源教程
安全杂货铺
09-29 9257
1.查看登陆过本机的IP 1.1打开事件事件日志 我的电脑 -> 右键 -> 管理 -> 事件查看器。 1.2找到RDP连接日志 应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager 选中Operational,右边就出现了RDP日志信息,点击操作窗口筛选...
Windows系统下查看电脑被远程访问历史记录
最新发布
阿猫阿狗。
07-03 2464
Windows系统下查看电脑被远程访问历史记录
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 3766
windows暴破事件日志
Windows SMB/RDP日志溯源总结
热门推荐
travelnight的博客
02-10 1万+
Windows SMB/RDP日志溯源总结 在以往涉及到Windows安全事件处理的时候,经常需要分析windows日志。对日志进行分析溯源的时候SMB/RDP日志是非常重要的一部分。比如:RDP入侵植入勒索病毒,drivelife等利用SMB暴力破解传播的病毒。 注:本文举例均为win7系统。 日志提取 使用“eventvwr.exe”直接打开事件管理器,可以直接查看和筛选日志。 直接访问日志文件路径也可提取 C:\Windows\System32\winevt\Logs 一般重点关注securi
记录远程用户登录日志
weixin_30699831的博客
04-22 307
记录远程用户登录日志 对于日志的问题,其实Terminal Service自己是有日志功能的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP(Microsoft RDP5.0)),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了吗?我们来加入一个Every...
清除3389远程登录日志
09-04
本文将详细讲解如何清除3389远程桌面协议(RDP)的登录日志。3389是Windows操作系统中用于远程桌面连接的标准端口。这些日志记录了通过该端口进行的所有远程登录尝试,包括成功和失败的登录事件,对于系统管理员来说...
windows登录日志统一记录
03-25
Windows操作系统中,管理和分析登录日志是网络安全和系统监控的重要环节。本文将详细探讨如何通过批处理脚本实现对Windows登录日志的统一记录,特别是针对3389远程桌面端口的活动,以及如何利用任务计划程序来自动...
cpp-TSSecurityEditor是Windows远程桌面服务安全配置工具
08-16
3. **审计和日志记录**:cpp-TSSecurityEditor支持启用或禁用远程桌面服务的日志记录,以便于追踪和分析任何异常登录尝试或其他安全事件。这对于排查问题和提升安全响应能力至关重要。 4. **会话管理**:该工具可以...
windows远程日志
01-25
Windows下要利用EvtSys这个小工具转换日记为syslog格式并发送到syslog-ng服务器。
rdp(远程终端登录记录
06-26
rdp(远程终端登录记录),主要是记录某个用户使用远程终端登录服务器·
Windows2019RDP-US-3
03-25
标题“Windows2019RDP-US-3”暗示了这是一个与Windows Server 2019操作系统相关的资源,特别是远程桌面协议(Remote Desktop Protocol, RDP)的设置或配置。在Windows Server 2019中,RDP允许用户通过网络连接到...
Windows2019RDP-US-Mousa-
03-03
标题“Windows2019RDP-US-Mousa-”暗示了这可能是一个与Windows Server 2019操作系统相关的资源,特别是涉及到远程桌面协议(RDP)的配置。RDP是微软提供的一种服务,允许用户通过网络连接到另一台计算机并进行图形...
windows远程连接记录查看和配置(包括本地连接记录和server被连接记录
xh_w20的专栏
11-29 1万+
wins 远程连接记录,包括从本地连接的记录和server被连接的记录
内网工具|读取正反向连接RDP记录
公众号:乌云安全
10-24 1743
C# 读取本机对外RDP连接记录和其他主机对该主机的连接记录,从而在内网渗透中获取更多可通内网网段信息以及定位运维管理人员主机。
记录远程桌面的连接登录日志方法(zz)
afxid的专栏
10-05 3618
1、在一个位置上建立一个存放日志和监控程序的目录,比如我在C盘下建立一个RDP的目录  2、在其目录下建立一个名为RDPlog.txt的文本文件3、在其目录下建立一个名为RDPlog.bat的批处理文件,内容为:date /t >>RDPlog.txttime /t >>RDPlog.txtnetstat -n -p tcp | find ":3389">>RDPlog.txt
Windows 日志攻防之攻击篇
weixin_33947521的博客
09-14 1403
本文讲的是Windows 日志攻防之攻击篇, 引言 从防御者视角来说,回溯攻击过程中日志分析是不可或缺的一个环节,国内对此日志方面的攻防探讨甚少,笔者结合自己渗透过程中的一些经验,浅显的谈一谈在攻击者的角度如何来利用日志,希望此文能抛砖引玉,改变国内安全从业者跪舔国外安全研究人员的这种“拿来主义”。 思路 就日志来说,见过不少较为暴力的方式是将整个日志...
nvidia-opengl-rdp
09-07
nvidia-opengl-rdp是指NVIDIA的OpenGL远程显示协议。它是一种用于在远程显示设备上渲染OpenGL图形的通信协议。 在传统的图形渲染中,图形处理单元(GPU)将图形数据生成为图像,并将其发送到显示设备进行显示。然而,当我们需要在远程设备上进行图形渲染时,这样的传统渲染方法就不再适用。 nvidia-opengl-rdp通过使用网络进行通信,将图形渲染任务从本地GPU转移到远程显示设备的GPU上。这就意味着我们可以在本地设备上操作图形渲染任务,而实际的渲染工作将在远程设备上进行,最终将图像数据传输回本地设备进行显示。这种方法能够极大地提高远程设备上的图形渲染性能,同时减轻本地设备的负担。 使用nvidia-opengl-rdp的好处之一是它可以在不同操作系统之间进行跨平台渲染。无论是在Windows、Linux还是其他操作系统上,只要支持OpenGL协议,就可以使用nvidia-opengl-rdp进行远程图形渲染,这为多平台应用程序的开发提供了便利。 总的来说,nvidia-opengl-rdp是一种用于在远程设备上进行OpenGL图形渲染的通信协议,它通过网络传输图形数据,以实现在不同操作系统之间进行跨平台渲染。它的使用可以极大地提高远程设备上的图形渲染性能,并为多平台应用程序的开发提供便利。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值