Если программа Windows запускается с runas с использованием аргумента «/ netonly», есть ли способ узнать, какие учетные данные используются ею для сети? Подобно тому, как вы могли видеть, что процесс запускается определенным пользователем в диспетчере задач, или в «списке задач», или в Get-Process?
Выполните следующие действия от имени любого пользователя с правами администратора. Естественно, это работает только после того, как процесс, запущенный с помощью runas / netonly
, обратился к сетевому ресурсу.
klist sessions
. Negotiate: NewCredentials
(происходит от переключателя / netonly
➜ тип входа 9) и который содержит имя пользователя, выполнившего runas
команда. klist -li 0x154f7a8
. Это покажет вам все билеты Kerberos для этой сессии. Билеты Kerberos предоставляются учетной записи пользователя, которая использовалась для команды runas / netonly
. Если команда не возвращает никаких билетов, значит, процесс еще не получил доступ к сетевому ресурсу, следовательно, еще не получил билет. В этом случае я думаю, что ваш единственный шанс - использовать что-то вроде mimikatz для чтения кэшированных учетных данных из памяти.