.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
检索并显示有关远程计算机上活动用户会话的信息。无需管理特权。
该工具利用远程注册表服务在远程计算机上查询HKEY_USERS注册表。它标识并提取与活动用户会话关联的安全标识符(SID),并将其转换为相应的用户名,从而提供有关当前登录的人的见解。
如果提供了-CheckAdminAccess开关,它将通过对您使用Invoke -WmireMoting进行本地管理员访问的目标进行认证来收集会话(这很可能会检索更多结果)
重要的是要注意,远程注册表服务需要在远程计算机上运行,才能有效地工作。在我的测试中,如果该服务已停止,但其启动类型已配置为“自动”或“手动”,则该服务将在查询后自动在目标计算机上自动启动(这是本机行为),并且会话信息将被检索。如果设置为“禁用”,则不会从目标中检索任何会话信息。
用法:
IEX(new-object net.webclient).downloadstring('3https://raw.githubusercorcontent.com/leo4j/leo4j/invoke-sessionhunter/main/main/invoke-sessionhunter.ps1')如果在没有参数或切换的情况下运行的情况下,它将通过参数恢复所有计算机的groment in CORTARING for AIT CORTAIND ALL CORTIEND ARCOINS for ALL COMERITION,所有计算机都在所有计算
通过对您拥有本地管理员访问的目标进行身份验证来调用sessionhunter聚集会议
Indoke -SessionHunter -CheckasAdmin您可以选择以以下格式提供凭据
Indoke -SessionHunter -Checkasadmin -username'Ferrari \ Administrator'-Password'P@SSW0RD!'您也可以使用-FailSafe Switch,如果目标远程注册表变得无反应,则可以指示该工具继续进行。
这可以与-Timeout |默认值=2,对于较慢的网络增加。
Indoke -SessionHunter -FailSafe Invoke -SessionHunter -FailSafe -Timeout 5使用-Match Switch仅显示您已访问管理员并登录特权用户的目标
Invoke -SessionHunter-匹配所有开关都可以组合
Indoke -SessionHunter -Checkasadmin -username'Ferrari \ Administrator'-Password'P@SSW0RD!' -FailSafe -Timeout 5 -Match
指定目标域
Invoke-SessionHunter -Domain contoso.local
指定目标的逗号分隔列表或包含目标列表的文件的完整路径 - 每行
一个Invoke-SessionHunter -Targets 'DC01,Workstation01.contoso.local' Invoke-SessionHunter -Targets c:010\Users\Public\Documents\targets.txt
仅在服务器上检索有关活动用户会话的信息
Invoke-SessionHunter -Servers
仅在工作站上检索有关活动用户会话的信息
Invoke-SessionHunter -Workstations
仅显示指定用户的活动会话
Invoke-SessionHunter -Hunt 'Administrator'
从会话检索中排除本地主机
Invoke-SessionHunter -IncludeLocalHost
返回自定义PSOBJECTS,而不是表格形式的结果
Invoke-SessionHunter -RawResults
在尝试检索会话之前,请勿运行端口扫描以列举活着的主机
Note: if a主机无法到达它会悬挂一段时间
调用- sessionhunter -noportscan