Se um programa do Windows for executado com 'runas' usando o argumento '/ netonly', existe alguma maneira de ver quais credenciais estão sendo usadas por ele para a rede? Semelhante à maneira como você pode ver um processo sendo executado por um determinado usuário no gerenciador de tarefas, ou em 'lista de tarefas' ou em Get-Process?
AskOverflow.Dev
Faça o seguinte como qualquer usuário com privilégios administrativos. Naturalmente, isso só funciona depois que o processo - com o qual foi iniciado
runas /netonly- acessou um recurso de rede.klist sessions.Negotiate:NewCredentials(vem do/netonlyswitch ➜ logon type 9) e que contém o nome de usuário que executou orunascomando.klist -li 0x154f7a8. Isso mostrará todos os tíquetes kerberos para esta sessão. Os tíquetes kerberos são concedidos à conta de usuário que foi usada para orunas /netonlycomando. Se o comando não retornar nenhum ticket, o processo ainda não acessou um recurso de rede e, portanto, ainda não recebeu um ticket. Nesse caso, acho que sua única chance é usar algo como mimikatz para ler as credenciais em cache da memória.