检索并显示有关远程计算机上活动用户会话的信息。无需管理特权。
该工具利用远程注册表服务在远程计算机上查询HKEY_USERS注册表。它标识并提取与活动用户会话关联的安全标识符(SID),并将其转换为相应的用户名,从而提供有关当前登录的人的见解。
如果提供了-CheckAdminAccess开关,它将通过对您使用Invoke -WmireMoting进行本地管理员访问的目标进行认证来收集会话(这很可能会检索更多结果)
重要的是要注意,远程注册表服务需要在远程计算机上运行,才能有效地工作。在我的测试中,如果该服务已停止,但其启动类型已配置为“自动”或“手动”,则该服务将在查询后自动在目标计算机上自动启动(这是本机行为),并且会话信息将被检索。如果设置为“禁用”,则不会从目标中检索任何会话信息。
Usage:
IEX(new-object net.webclient).downloadstring('3https://raw.githubusercorcontent.com/leo4j/leo4j/invoke-sessionhunter/main/main/invoke-sessionhunter.ps1')如果在没有参数或切换的情况下运行的情况下,它将通过参数恢复所有计算机的groment in CORTARING for AIT CORTAIND ALL CORTIEND ARCOINS for ALL COMERITION,所有计算机都在所有计算通过对您拥有本地管理员访问的目标进行身份验证来调用sessionhunter聚集会议
Indoke -SessionHunter -CheckasAdmin您可以选择以以下格式提供凭据
Indoke -SessionHunter -Checkasadmin -username'Ferrari \ Administrator'-Password'P@SSW0RD!'您也可以使用-FailSafe Switch,如果目标远程注册表变得无反应,则可以指示该工具继续进行。
这可以与-Timeout |默认值=2,对于较慢的网络增加。
Indoke -SessionHunter -FailSafe Invoke -SessionHunter -FailSafe -Timeout 5使用-Match Switch仅显示您已访问管理员并登录特权用户的目标
Invoke -SessionHunter-匹配所有开关都可以组合
Indoke -SessionHunter -Checkasadmin -username'Ferrari \ Administrator'-Password'P@SSW0RD!' -FailSafe -Timeout 5 -Match
Specify the target domain
Invoke-SessionHunter -Domain contoso.localSpecify a comma-separated list of targets or the full path to a file containing a list of targets - one per line
Invoke-SessionHunter -Targets 'DC01,Workstation01.contoso.local' Invoke-SessionHunter -Targets c:010\Users\Public\Documents\targets.txtRetrieve and display information about active user sessions on servers only
Invoke-SessionHunter -ServersRetrieve and display information about active user sessions on workstations only
Invoke-SessionHunter -WorkstationsShow active session for the specified user only
Invoke-SessionHunter -Hunt 'Administrator'Exclude localhost from the sessions retrieval
Invoke-SessionHunter -IncludeLocalHostReturn custom PSObjects instead of table-formatted results
Invoke-SessionHunter -RawResultsDo not run a port scan to enumerate for alive hosts before trying to retrieve sessions
Note: if a主机无法到达它会悬挂一段时间调用- sessionhunter -noportscan
