Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

admin 2023年12月2日03:08:15评论7 views字数 887阅读2分57秒阅读模式


Ladon 12.0  20231201[+]DomainLog  DomainUserIP 远程查询 域用户、IP[u]LoginLog    4624成功日志 域用户、域名、登陆IP /all      导出全部日志 原始数据LoginLog 用户名 LoginLog 用户名 记录数


0x001 查看域内用户登陆IP

域控 192.168.1.142 用户 null 密码 K8gege520 查看7条日志Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

0x002 查看登陆原始日志(域控、服务器、个人机)均可

Ladon LoginLog /all

Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

0x003 查看4624登陆成功日志

只处理中文和英文,其它文字不一定能提取出IP等信息,可使用/all

一般非中文的系统 登陆日志基本上是英文

Ladon LoginLog

Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

0x004 查看指定用户 指定数量 4624登陆成功日志

Ladon LoginLog 用户名 数量

Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

0x005 3389取证 3389连接日志

Ladon RdpLog

Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

0x006 查看Recent最近操作文档 最近访问文件日志

自动处理快捷方式 还原成对应程序或文件 方便复制

Ladon Recent

Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

0x007 UsbLog查看U盘日志

查看USB日志可以知道有哪些U盘插入电脑,如果出现一个不是你自己用的牌子的U盘,或者多个和你同一牌子的U盘,也可以确认别人用U盘插过你的电脑, 因为U盘有唯一标志和路径,当然也可用于确认目标电脑是否使用U盘,有只需要等下次接入,拷贝U盘里的数据。

Ladon UsbLog

Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

0x008 清理日志 本机垃圾、崩溃文件等信息

渗透时在目标上运行的一些程序 意外崩溃 会产生同名.dmp文件,如ladon.exe.dmp、cve-xxx.exe.dmp等,如果管理员足够牛逼,将会从这些蛛丝马迹中分析出电脑被攻击。当然一般情况下,只会在EDR或防火墙,对于非常明显的密码爆破或高危漏洞利用报警后,管理员才知道被攻击,平时也不会注意这些细节,除非当前机器价值非常高,需要人非常深入细致的排查日志。所以要养成好习惯,上传到目标的工具要改名字,不要原名,暴露意图,当然最佳方法,能内存加载就不要上传EXE

Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

原文始发于微信公众号(K8实验室):Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月2日03:08:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Ladon日志取证 查询域用户IP 3389日志 USB日志 最近访问文件等https://cn-sec.com/archives/2257860.html

发表评论

匿名网友 填写信息