Windowsプログラムが「/ netonly」引数を使用して「runas」で実行されている場合、ネットワークで使用されている資格情報を確認する方法はありますか?タスクマネージャー、「タスクリスト」、またはGet-Processで、特定のユーザーがプロセスを実行しているのを見るのと同じように?
管理者権限を持つユーザーとして、次の手順を実行します。当然、これは後プロセス-runas /netonly
で開始された-ネットワークリソースにアクセスした場合にのみ機能します。
klist sessions
と入力します。Negotiate:NewCredentials
(/netonly
スイッチ➜ログオンタイプ9からのもの)と表示され、runas
コマンドを実行したユーザー名を含むセッションを検索します。klist -li 0x154f7a8
を入力します。これにより、このセッションのすべてのKerberosチケットが表示されます。 Kerberosチケットは、runas /netonly
コマンドに使用されたユーザーアカウントに付与されます。コマンドがチケットを返さない場合、プロセスはまだネットワークリソースにアクセスしていないため、チケットをまだ受信していません。その場合、あなたの唯一のチャンスは、mimikatzのようなものを使用して、キャッシュされた資格情報をメモリから読み取ることだと思います。