日韩欧美一区久久久久久二区,精品一区二区三区第35,欧美日韩中国在线视频

【C#】一鍵獲取Windows遠程桌面RDP登陸日志

當前位置：點晴教程→知識管理交流 →『技術文檔交流』

admin

2024年7月2日 10:18 本文熱度 2327

這個小工具有點意思，做到了一鍵提取RDP登陸（成功、失?。┤罩?，省去了我們在事件中一行行的查找查看，對現(xiàn)場勘驗有用處。雖然沒提供源碼，但思路非常明確了，寫起來也不難。就提供作者的Exe程序吧。

作者地址：

https://github.com/Adminisme/SharpRDPLog

下載地址：

SharpRDPLog.exe，14 KB，Jan 9, 2021
Source code(zip)，Jan 9, 2021
Source code(tar.gz)，Jan 9, 2021

Exe下載地址：

鏈接：https://pan.baidu.com/s/14Lj08gnUcfcaphI0VwtY9w

提取碼：auao

簡介

Windows rdp相關的登錄記錄導出工具，用于后滲透中Windows服務器的RDP相關的信息收集。輸出內容包括：本地rdp端口、mstsc緩存、cmdkey緩存、登錄成功、失敗日志事件。
運行前需要bypassUAC后的管理員權限權限。

說明

由于代碼比較簡單，已經(jīng)編譯了.Net 3.5版本的可執(zhí)行文件，需要的可以直接到releases下載，下面主要分享和提供思路供大家參考。

1、查看本地rdp TCP端口

原理：通過讀取系統(tǒng)注冊表信息獲取rdp TCP端口。

注冊表Path：

計算機\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

2、導出當前用戶mstsc遠程登錄服務器記錄

輸出：ip地址：端口

原理：通過讀取系統(tǒng)注冊表信息獲取mstsc緩存記錄。

注冊表Path：

計算機\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default

3、導出本地所有用戶rdp登錄服務器記錄

輸出包括：ip地址、登錄用戶名

原理：通過調用WMI API接口獲取所有當前系統(tǒng)所有用戶的Name、SID，通過系統(tǒng)注冊表依次讀取獲取該用戶登錄記錄，類似cmdkey /list功能，區(qū)別于可以導出系統(tǒng)內所有用戶記錄登錄信息。

注冊表Path：

系統(tǒng)當前用戶：
計算機\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers

系統(tǒng)全局用戶：
計算機\HKEY_USERS\{SID}\SOFTWARE\Microsoft\Terminal Server Client\Servers\

4、導出服務器被登錄事件，獲取當前服務器被登錄記錄

參考：https://github.com/uknowsec/SharpEventLog?

或訪問：http://29259.oa22.cn

輸出包括：時間、源IP地址、域名、用戶名、是否登錄成功

原理：通過Win API 獲取windows事件安全日志中ID為4624、4625的事件，提取事件中的關鍵信息。

Usage:

C:\Users\Trim>SharpRDPLog.exe
Usage: SharpRDPLog.exe -rdpport        #本地RDP端口
       SharpRDPLog.exe -rdp_History    #當前用戶的mstsc緩存和當前用戶的cmdkey緩存
       SharpRDPLog.exe -cmdkey         #所有用戶的cmdkey緩存
       SharpRDPLog.exe -4624           #登錄成功事件
       SharpRDPLog.exe -4625           #登錄失敗事件
       SharpRDPLog.exe  -all           #全部輸出