Az - Pass the Cookie

Warum Cookies?

Browser cookies sind ein großartiger Mechanismus, um Authentifizierung und MFA zu umgehen. Da der Benutzer bereits in der Anwendung authentifiziert ist, kann das Sitzungscookie einfach verwendet werden, um auf Daten als dieser Benutzer zuzugreifen, ohne sich erneut authentifizieren zu müssen.

Du kannst sehen, wo Browser-Cookies gespeichert sind in:

Browser ArtifactsHackTricks

Angriff

Der herausfordernde Teil ist, dass diese Cookies verschlüsselt sind für den Benutzer über die Microsoft Data Protection API (DPAPI). Dies wird mit kryptografischen Schlüsseln, die an den Benutzer gebunden sind, zu dem die Cookies gehören, verschlüsselt. Du kannst mehr Informationen darüber finden in:

DPAPI - Extracting PasswordsHackTricks

Mit Mimikatz in der Hand kann ich die Cookies eines Benutzers extrahieren, auch wenn sie mit diesem Befehl verschlüsselt sind:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Für Azure interessieren wir uns für die Authentifizierungscookies, einschließlich ESTSAUTH, ESTSAUTHPERSISTENT und ESTSAUTHLIGHT. Diese sind vorhanden, weil der Benutzer in letzter Zeit aktiv auf Azure war.

Navigiere einfach zu login.microsoftonline.com und füge das Cookie ESTSAUTHPERSISTENT (generiert durch die Option „Angemeldet bleiben“) oder ESTSAUTH hinzu. Und du wirst authentifiziert.

References

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/