Windows
獲取正在執行的程序的網路憑據?
如果 Windows 程序使用 ‘/netonly’ 參數以 ‘runas’ 執行,是否有任何方法可以查看它正在為網路使用哪些憑據?類似於您在任務管理器、“任務列表”或 Get-Process 中看到某個使用者正在執行程序的方式?
以任何具有管理權限的使用者身份執行以下操作。自然,這僅在已開始的程序
runas /netonly
訪問網路資源之後才有效。
- 打開具有提升權限的命令行(以管理員身份執行)並輸入
klist sessions
.- 搜尋它所說的會話
Negotiate:NewCredentials
(來自/netonly
開關 ➜ 登錄類型 9)並且包含執行runas
命令的使用者名。- 請注意會話 ID,例如0x154f7a8。
- 輸入命令
klist -li 0x154f7a8
。這將顯示此會話的所有 kerberos 票證。kerberos 票證被授予用於該runas /netonly
命令的使用者帳戶。如果該命令沒有返回任何票證,則該程序尚未訪問網路資源,因此還沒有收到票證。在這種情況下,我認為您唯一的機會是使用mimikatz之類的東西從記憶體中讀取記憶體的憑據。