Ladon 12.0 20231201
DomainUserIP 远程查询 域用户、IP
4624成功日志 域用户、域名、登陆IP
导出全部日志 原始数据
LoginLog 用户名
LoginLog 用户名 记录数
0x001 查看域内用户登陆IP
域控 192.168.1.142 用户 null 密码 K8gege520 查看7条日志
0x002 查看登陆原始日志(域控、服务器、个人机)均可
Ladon LoginLog /all
0x003 查看4624登陆成功日志
只处理中文和英文,其它文字不一定能提取出IP等信息,可使用/all
一般非中文的系统 登陆日志基本上是英文
Ladon LoginLog
0x004 查看指定用户 指定数量 4624登陆成功日志
Ladon LoginLog 用户名 数量
0x005 3389取证 3389连接日志
Ladon RdpLog
0x006 查看Recent最近操作文档 最近访问文件日志
自动处理快捷方式 还原成对应程序或文件 方便复制
Ladon Recent
0x007 UsbLog查看U盘日志
查看USB日志可以知道有哪些U盘插入电脑,如果出现一个不是你自己用的牌子的U盘,或者多个和你同一牌子的U盘,也可以确认别人用U盘插过你的电脑, 因为U盘有唯一标志和路径,当然也可用于确认目标电脑是否使用U盘,有只需要等下次接入,拷贝U盘里的数据。
Ladon UsbLog
0x008 清理日志 本机垃圾、崩溃文件等信息
渗透时在目标上运行的一些程序 意外崩溃 会产生同名.dmp文件,如ladon.exe.dmp、cve-xxx.exe.dmp等,如果管理员足够牛逼,将会从这些蛛丝马迹中分析出电脑被攻击。当然一般情况下,只会在EDR或防火墙,对于非常明显的密码爆破或高危漏洞利用报警后,管理员才知道被攻击,平时也不会注意这些细节,除非当前机器价值非常高,需要人非常深入细致的排查日志。所以要养成好习惯,上传到目标的工具要改名字,不要原名,暴露意图,当然最佳方法,能内存加载就不要上传EXE
原文始发于微信公众号(K8实验室):Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论