安全矩阵

 找回密码
 立即注册
搜索
查看: 834|回复: 0

windows信息收集工具 -- winlog

[复制链接]

181

主题

182

帖子

719

积分

高级会员

Rank: 4

积分
719
发表于 2022-9-10 21:32:38 | 显示全部楼层 |阅读模式

windows信息收集工具 -- winlog

i11us0ry 释然IT杂谈
2022-09-09 08:00 发表于上海
转载自:windows信息收集工具 -- winlog

项目作者:i11us0ry
项目地址:https://github.com/i11us0ry/winlog

一、工具介绍:
一款基于go的windows信息收集工具,主要收集目标设备rdp端口登录、mstsc远程连接记录、mstsc密码和安全事件中。
二、安装与使用:
1、获取本地RDP端口:
  1. \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
复制代码

2、获取当前用户mstsc远程连接记录,包括host、port、loginName
  1. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default
  2. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers
复制代码

3、获取当前服务器安全日志4624、4625事件
  1. Advapi32.dll --> ReadEventLogW --> Security --> 4624、4625
复制代码

4、抓取密码
如果用户使用mstsc进行远程连接时选择了保留凭证,则可以调用mimikatz抓取用户保留的密码

5、使用时执行exe,如果需要获取密码需要一起上传mimikatz,并使用-p指定mimikatz,路径如下:

三、下载地址:
通过项目地址下载
链接:https://github.com/i11us0ry/winlog

四、声明:
仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者不承担任何法律及连带责任。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-4 16:55 , Processed in 0.018103 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表