windows信息收集工具 — winlog

一、工具介绍

一款基于go的windows信息收集工具，主要收集目标设备rdp端口登录、mstsc远程连接记录、mstsc密码和安全事件中。

二、安装与使用1、获取本地RDP端口：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

2、获取当前用户mstsc远程连接记录，包括host、port、loginName

HKEY_CURRENT_USERSOFTWAREMicrosoftTerminal Server ClientDefaultHKEY_CURRENT_USERSOFTWAREMicrosoftTerminal Server ClientServers

3、获取当前服务器安全日志4624、4625事件

Advapi32.dll --> ReadEventLogW --> Security --> 4624、4625

4、抓取密码

如果用户使用mstsc进行远程连接时选择了保留凭证，则可以调用mimikatz抓取用户保留的密码

5、使用时执行exe，如果需要获取密码需要一起上传mimikatz，并使用-p指定mimikatz，路径如下：
三、下载地址：项目地址：https://github.com/i11us0ry/winlog

文章来源：系统安全运维

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END