HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
HKEY_CURRENT_USERSOFTWAREMicrosoftTerminal Server ClientDefault
HKEY_CURRENT_USERSOFTWAREMicrosoftTerminal Server ClientServers
Advapi32.dll --> ReadEventLogW --> Security --> 4624、4625
如果用户使用mstsc进行远程连接时选择了保留凭证,则可以调用mimikatz抓取用户保留的密码
项目地址:https://github.com/i11us0ry/winlog
如有侵权,请联系删除
原文始发于微信公众号(天驿安全):推荐一款windows信息收集工具
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论