【C#】一鍵獲取Windows遠(yuǎn)程桌面RDP登陸日志

當(dāng)前位置：點晴教程→知識管理交流 →『技術(shù)文檔交流』

admin

2024年7月2日 10:18 本文熱度 1972

這個小工具有點意思，做到了一鍵提取RDP登陸（成功、失敗）日志，省去了我們在事件中一行行的查找查看，對現(xiàn)場勘驗有用處。雖然沒提供源碼，但思路非常明確了，寫起來也不難。就提供作者的Exe程序吧。

作者地址：

https://github.com/Adminisme/SharpRDPLog

下載地址：

SharpRDPLog.exe，14 KB，Jan 9, 2021
Source code(zip)，Jan 9, 2021
Source code(tar.gz)，Jan 9, 2021

Exe下載地址：

鏈接：https://pan.baidu.com/s/14Lj08gnUcfcaphI0VwtY9w

提取碼：auao

簡介

Windows rdp相關(guān)的登錄記錄導(dǎo)出工具，用于后滲透中Windows服務(wù)器的RDP相關(guān)的信息收集。輸出內(nèi)容包括：本地rdp端口、mstsc緩存、cmdkey緩存、登錄成功、失敗日志事件。
運行前需要bypassUAC后的管理員權(quán)限權(quán)限。

說明

由于代碼比較簡單，已經(jīng)編譯了.Net 3.5版本的可執(zhí)行文件，需要的可以直接到releases下載，下面主要分享和提供思路供大家參考。

1、查看本地rdp TCP端口

原理：通過讀取系統(tǒng)注冊表信息獲取rdp TCP端口。

注冊表Path：

計算機(jī)\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

2、導(dǎo)出當(dāng)前用戶mstsc遠(yuǎn)程登錄服務(wù)器記錄

輸出：ip地址：端口

原理：通過讀取系統(tǒng)注冊表信息獲取mstsc緩存記錄。

注冊表Path：

計算機(jī)\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default

3、導(dǎo)出本地所有用戶rdp登錄服務(wù)器記錄

輸出包括：ip地址、登錄用戶名

原理：通過調(diào)用WMI API接口獲取所有當(dāng)前系統(tǒng)所有用戶的Name、SID，通過系統(tǒng)注冊表依次讀取獲取該用戶登錄記錄，類似cmdkey /list功能，區(qū)別于可以導(dǎo)出系統(tǒng)內(nèi)所有用戶記錄登錄信息。

注冊表Path：

系統(tǒng)當(dāng)前用戶：
計算機(jī)\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers

系統(tǒng)全局用戶：
計算機(jī)\HKEY_USERS\{SID}\SOFTWARE\Microsoft\Terminal Server Client\Servers\

4、導(dǎo)出服務(wù)器被登錄事件，獲取當(dāng)前服務(wù)器被登錄記錄

參考：https://github.com/uknowsec/SharpEventLog?

或訪問：http://29259.oa22.cn

輸出包括：時間、源IP地址、域名、用戶名、是否登錄成功

原理：通過Win API 獲取windows事件安全日志中ID為4624、4625的事件，提取事件中的關(guān)鍵信息。

Usage:

C:\Users\Trim>SharpRDPLog.exe
Usage: SharpRDPLog.exe -rdpport        #本地RDP端口
       SharpRDPLog.exe -rdp_History    #當(dāng)前用戶的mstsc緩存和當(dāng)前用戶的cmdkey緩存
       SharpRDPLog.exe -cmdkey         #所有用戶的cmdkey緩存
       SharpRDPLog.exe -4624           #登錄成功事件
       SharpRDPLog.exe -4625           #登錄失敗事件
       SharpRDPLog.exe  -all           #全部輸出