Если программа Windows запускается с «runas» с использованием аргумента «/ netonly», есть ли способ узнать, какие учетные данные используются ею для сети? Подобно тому, как вы можете видеть, что процесс запускается определенным пользователем в диспетчере задач, или в «списке задач», или в Get-Process?
Выполните следующие действия как любой пользователь с правами администратора. Естественно, это работает только после процесс - это было начато с runas /netonly
- обратился к сетевому ресурсу.
klist sessions
.Negotiate:NewCredentials
(происходит из /netonly
переключатель ➜ тип входа 9) и содержит имя пользователя, выполнившего runas
команда.klist -li 0x154f7a8
. Это покажет вам все билеты Kerberos для этой сессии. Билеты Kerberos предоставляются учетной записи пользователя, которая использовалась для runas /netonly
команда. Если команда не возвращает ни одного билета, значит, процесс еще не получил доступ к сетевому ресурсу и, следовательно, еще не получил билет. В этом случае я думаю, что ваш единственный шанс - использовать что-то вроде мимикац для чтения кэшированных учетных данных из памяти.