Ecosyste.ms: Awesome
An open API service indexing awesome lists of open source software.
https://github.com/i11us0ry/winlog
一款基于go的windows信息收集工具,主要收集目标机器rdp端口、mstsc远程连接记录、mstsc密码和安全事件中4624、4625登录事件记录
https://github.com/i11us0ry/winlog
Last synced: about 2 months ago
JSON representation
一款基于go的windows信息收集工具,主要收集目标机器rdp端口、mstsc远程连接记录、mstsc密码和安全事件中4624、4625登录事件记录
- Host: GitHub
- URL: https://github.com/i11us0ry/winlog
- Owner: i11us0ry
- Created: 2022-07-09T10:29:46.000Z (about 2 years ago)
- Default Branch: main
- Last Pushed: 2022-07-18T15:28:15.000Z (about 2 years ago)
- Last Synced: 2024-07-09T19:11:18.879Z (2 months ago)
- Language: Go
- Homepage:
- Size: 372 KB
- Stars: 269
- Watchers: 7
- Forks: 26
- Open Issues: 2
-
Metadata Files:
- Readme: README.md
Awesome Lists containing this project
README
## 更新记录
- 2022-07-18:调用mimikatz抓取mstsc密码
- 2022-07-09:实现基本功能
## 工具说明
功能如下:
- 获取本地RDP端口:
```
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
```
- 获取当前用户mstsc远程连接记录,包括host、port、loginName
```
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers
```
- 获取当前服务器安全日志4624、4625事件
```
Advapi32.dll --> ReadEventLogW --> Security --> 4624、4625
```
- 抓取密码
```
如果用户使用mstsc进行远程连接时选择了保留凭证,则可以调用mimikatz抓取用户保留的密码
```
## 使用说明
- 需要管理员权限
- 只适配中文系统
- 只在win10、win11上测试过
- 使用时执行exe即可,如果需要抓取密码需要一同上传mimikatz,并使用-p指定mimikatz路径,如下:
## 参考
- https://github.com/Adminisme/SharpRDPLog
- https://github.com/mackerelio/go-check-plugins