Az - Processes Memory Access Token
Información Básica
Como se explica en este video, algunos software de Microsoft sincronizados con la nube (Excel, Teams...) pueden almacenar tokens de acceso en texto claro en la memoria. Así que simplemente volcar la memoria del proceso y buscar tokens JWT puede otorgarte acceso a varios recursos de la víctima en la nube eludiendo MFA.
Pasos:
Volcar los procesos de excel sincronizados con el usuario de EntraID con tu herramienta favorita.
Ejecutar:
string excel.dmp | grep 'eyJ0'
y encontrar varios tokens en la salida.Encontrar los tokens que más te interesen y ejecutar herramientas sobre ellos:
Tenga en cuenta que este tipo de tokens de acceso también se pueden encontrar dentro de otros procesos.
Last updated