Windows

獲取正在執行的程序的網路憑據?

  • January 16, 2020

如果 Windows 程序使用 ‘/netonly’ 參數以 ‘runas’ 執行,是否有任何方法可以查看它正在為網路使用哪些憑據?類似於您在任務管理器、“任務列表”或 Get-Process 中看到某個使用者正在執行程序的方式?

以任何具有管理權限的使用者身份執行以下操作。自然,這僅已開始的程序runas /netonly訪問網路資源之後才有效。

  • 打開具有提升權限的命令行(以管理員身份執行)並輸入klist sessions.
  • 搜尋它所說的會話Negotiate:NewCredentials(來自/netonly開關 ➜ 登錄類型 9)並且包含執行runas命令的使用者名。
  • 請注意會話 ID,例如0x154f7a8
  • 輸入命令klist -li 0x154f7a8。這將顯示此會話的所有 kerberos 票證。kerberos 票證被授予用於該runas /netonly命令的使用者帳戶。如果該命令沒有返回任何票證,則該程序尚未訪問網路資源,因此還沒有收到票證。在這種情況下,我認為您唯一的機會是使用mimikatz之類的東西從記憶體中讀取記憶體的憑據。

引用自:https://serverfault.com/questions/994076