会话搜集
在cmd下调用query session
命令可以获得当前环境下的windows会话
NetSessionEnum
这个函数不允许直接查询是谁登陆,但是它允许查询是谁在访问此工作站的网络资源时所创建的网络会话,从而知道来自何处,此函数不需要高权限即可查询
第一个参数是servername
,我们可以通过servername
指定一个远程的主机,然后这个 API 会去调用远程主机的 RPC,然后返回其他用户在访问这台远程主机的网络资源时所创建的网络会话,从而可以看到这个用户来自何处
该 API 并不能查询到是谁登陆了这台远程主机,但是可以看到访问这台远程主机的网络资源时所创建的网络会话。从这个网络会话中可以看到哪个域用户来自哪个 IP,并且该 API 不需要在远程主机上有管理员权限
返回值有点特殊,NERR_Success
和ERROR_MORE_DATA
都是证明函数使用成功
level
的数值需要设置为10,是唯一以未经身份验证的方式就可以获取所需数据的级别
通过wireshark抓包可以得到NetSessionEnum
分为6步操作
-
与远程主机建立 SMB 连接(Kerberos 身份验证)
-
连接到
IPC$
共享 -
打开
srvsvc
命名管道 -
srvsvc
使用其 UUID绑定到接口4b324fc8-1670-01d3-1278-5a47bf6ee188
-
查询
NetSessionEnum
-
关闭并注销
实现代码
实现效果