web-dev-qa-db-ja.com

実行中のプロセスのネットワーク資格情報を取得しますか?

Windowsプログラムが「/ netonly」引数を使用して「runas」で実行されている場合、ネットワークで使用されている資格情報を確認する方法はありますか?タスクマネージャー、「タスクリスト」、またはGet-Processで、特定のユーザーがプロセスを実行しているのを見るのと同じように?

1
leeand00

管理者権限を持つユーザーとして、次の手順を実行します。当然、これはプロセス-runas /netonlyで開始された-ネットワークリソースにアクセスした場合にのみ機能します。

  • 昇格された権限でコマンドラインを開き(管理者として実行)、klist sessionsと入力します。
  • Negotiate:NewCredentials/netonlyスイッチ➜ログオンタイプ9からのもの)と表示され、runasコマンドを実行したユーザー名を含むセッションを検索します。
  • セッションIDに注意してください。例: 0x154f7a8
  • コマンドklist -li 0x154f7a8を入力します。これにより、このセッションのすべてのKerberosチケットが表示されます。 Kerberosチケットは、runas /netonlyコマンドに使用されたユーザーアカウントに付与されます。コマンドがチケットを返さない場合、プロセスはまだネットワークリソースにアクセスしていないため、チケットをまだ受信していません。その場合、あなたの唯一のチャンスは、mimikatzのようなものを使用して、キャッシュされた資格情報をメモリから読み取ることだと思います。
3
Daniel