Az - Pass the Cookie

Warum Cookies?

Browser cookies sind ein großartiger Mechanismus, um Authentifizierung und MFA zu umgehen. Da der Benutzer bereits in der Anwendung authentifiziert ist, kann das Sitzungscookie einfach verwendet werden, um auf Daten als dieser Benutzer zuzugreifen, ohne sich erneut authentifizieren zu müssen.

Sie können sehen, wo Browser-Cookies gespeichert sind in:

Angriff

Der herausfordernde Teil ist, dass diese Cookies verschlüsselt sind für den Benutzer über die Microsoft Data Protection API (DPAPI). Dies wird mit kryptografischen Schlüsseln, die an den Benutzer gebunden sind, zu dem die Cookies gehören, verschlüsselt. Weitere Informationen dazu finden Sie in:

Mit Mimikatz in der Hand kann ich die Cookies eines Benutzers extrahieren, obwohl sie mit diesem Befehl verschlüsselt sind:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Für Azure interessieren wir uns für die Authentifizierungscookies, einschließlich ESTSAUTH, ESTSAUTHPERSISTENT und ESTSAUTHLIGHT. Diese sind vorhanden, weil der Benutzer in letzter Zeit aktiv auf Azure war.

Navigieren Sie einfach zu login.microsoftonline.com und fügen Sie das Cookie ESTSAUTHPERSISTENT (generiert durch die Option „Angemeldet bleiben“) oder ESTSAUTH hinzu. Und Sie werden authentifiziert.

References

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/