Az - Pass the Cookie

Pourquoi les Cookies ?

Les cookies de navigateur sont un excellent mécanisme pour contourner l'authentification et la MFA. Comme l'utilisateur s'est déjà authentifié dans l'application, le cookie de session peut simplement être utilisé pour accéder aux données en tant qu'utilisateur, sans avoir besoin de se ré-authentifier.

Vous pouvez voir où se trouvent les cookies de navigateur dans :

Browser ArtifactsHackTricks

Attaque

La partie difficile est que ces cookies sont chiffrés pour l'utilisateur via l'API de protection des données Microsoft (DPAPI). Cela est chiffré en utilisant des clés cryptographiques liées à l'utilisateur auquel appartiennent les cookies. Vous pouvez trouver plus d'informations à ce sujet dans :

DPAPI - Extracting PasswordsHackTricks

Avec Mimikatz en main, je suis capable d'extraire les cookies d'un utilisateur même s'ils sont chiffrés avec cette commande :

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Pour Azure, nous nous soucions des cookies d'authentification, y compris ESTSAUTH, ESTSAUTHPERSISTENT et ESTSAUTHLIGHT. Ceux-ci sont présents parce que l'utilisateur a été actif sur Azure récemment.

Il suffit de naviguer vers login.microsoftonline.com et d'ajouter le cookie ESTSAUTHPERSISTENT (généré par l'option "Rester connecté") ou ESTSAUTH. Et vous serez authentifié.

Références

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/