李白你好
李白你好
微信号 libai_hello
功能介绍 "一个有趣的网络安全小平台" 主攻WEB安全 | 内网渗透 | 红蓝对抗 | SRC | 安全资讯等内容分享,关注了解更多实用的安全小知识~
__发表于
收录于合集 #安全工具 5个
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把 李白你好 “ 设为星标 ”,否则可能就看不到了啦!
0x01 工具介绍
C# 读取本机对外RDP连接记录和其他主机对该主机的连接记录,从而在内网渗透中获取更多可通内网网段信息以及定位运维管理人员主机。
0x02 工具原理
- 对外 RDP 连接记录
- 对外 RDP 连接记录保存在
HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\下,默认只包含缺省用户设置和已登录用户的信息 - 未登录用户连接记录需要通过加载对应用户目录下的
NTUSER.DAT到注册表中并读取来实现 - 需要有
SeBackupPrivilege和SeRestorePrivilege这两项权限才可以实现对注册表的读和写操作
- 对外 RDP 连接记录保存在
- 对内 RDP 连接记录
- 对内 RDP 连接记录保存在 Windows 事件日志中(eventvwr),为了获取更多连接信息,不再区分是否是通过 RDP 登录
- 一个完整的
rdp登录->注销过程包括网络连接->身份认证->登录->注销,在注销前还可能发生会话断开/重新连接 - 选取
EventID: 1149 网络连接事件作为全量的登录事件,EventID: 21 登录成功和EventID: 25 重新连接作为登录成功的事件,通过剔除登录成功的事件即为登录失败的事件
0x03 应用场景
-
内网渗透中获取更多可通网段信息
-
内网渗透中定位运维管理人员主机等关键主机
-
......
0x04 效果
0x05 工具下载
点击关注下方名片 进入公众号
回复关键字【 230719 】获取 下载链接
往 期 精 彩
[
集成的安全WIKI,涉及30个方向的资料
[
哪些学校信息安全专业排名A和A+类 | 高考专题
[
免杀PHP木马生成器
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看