Назад | Перейти на главную страницу

Получение сетевых учетных данных для запущенного процесса?

Если программа Windows запускается с «runas» с использованием аргумента «/ netonly», есть ли способ узнать, какие учетные данные используются ею для сети? Подобно тому, как вы можете видеть, что процесс запускается определенным пользователем в диспетчере задач, или в «списке задач», или в Get-Process?

Выполните следующие действия как любой пользователь с правами администратора. Естественно, это работает только после процесс - это было начато с runas /netonly - обратился к сетевому ресурсу.

  • Откройте командную строку с повышенными правами (Запустить от имени администратора) и введите klist sessions.
  • Найдите сеанс, в котором написано Negotiate:NewCredentials (происходит из /netonly переключатель ➜ тип входа 9) и содержит имя пользователя, выполнившего runas команда.
  • Обратите внимание на идентификатор сеанса, например 0x154f7a8.
  • Введите команду klist -li 0x154f7a8. Это покажет вам все билеты Kerberos для этой сессии. Билеты Kerberos предоставляются учетной записи пользователя, которая использовалась для runas /netonly команда. Если команда не возвращает ни одного билета, значит, процесс еще не получил доступ к сетевому ресурсу и, следовательно, еще не получил билет. В этом случае я думаю, что ваш единственный шанс - использовать что-то вроде мимикац для чтения кэшированных учетных данных из памяти.