Получение сетевых учетных данных для запущенного процесса?

Выполните следующие действия от имени любого пользователя с правами администратора. Естественно, это работает только после того, как процесс, запущенный с помощью runas / netonly , обратился к сетевому ресурсу.

• Откройте командную строку с повышенными правами ( Запуск от имени администратора ) и введите klist sessions .
• Найдите сеанс, в котором написано Negotiate: NewCredentials (происходит от переключателя / netonly ➜ тип входа 9) и который содержит имя пользователя, выполнившего runas команда.
• Обратите внимание на идентификатор сеанса, например 0x154f7a8 .
• Введите команду klist -li 0x154f7a8 . Это покажет вам все билеты Kerberos для этой сессии. Билеты Kerberos предоставляются учетной записи пользователя, которая использовалась для команды runas / netonly . Если команда не возвращает никаких билетов, значит, процесс еще не получил доступ к сетевому ресурсу, следовательно, еще не получил билет. В этом случае я думаю, что ваш единственный шанс - использовать что-то вроде mimikatz для чтения кэшированных учетных данных из памяти.