Az - Pass the Cookie
Γιατί τα Cookies;
Τα cookies του προγράμματος περιήγησης είναι ένα εξαιρετικό μηχανισμός για την παράκαμψη της ταυτοποίησης και του MFA. Επειδή ο χρήστης έχει ήδη πιστοποιηθεί στην εφαρμογή, το cookie της συνεδρίας μπορεί απλώς να χρησιμοποιηθεί για την πρόσβαση σε δεδομένα ως αυτός ο χρήστης, χωρίς να χρειάζεται να γίνει νέα ταυτοποίηση.
Μπορείτε να δείτε πού βρίσκονται τα cookies του προγράμματος περιήγησης στον παρακάτω σύνδεσμο:
Επίθεση
Το πρόβλημα είναι ότι αυτά τα cookies είναι κρυπτογραφημένα για τον χρήστη μέσω του Microsoft Data Protection API (DPAPI). Αυτό κρυπτογραφείται χρησιμοποιώντας κρυπτογραφικά κλειδιά που σχετίζονται με τον χρήστη στον οποίο ανήκουν τα cookies. Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με αυτό στον παρακάτω σύνδεσμο:
Με το Mimikatz στο χέρι, μπορώ να εξάγω τα cookies ενός χρήστη ακόμα και αν είναι κρυπτογραφημένα με αυτήν την εντολή:
Για το Azure, μας ενδιαφέρουν τα αυθεντικοποιητικά cookies, συμπεριλαμβανομένων των ESTSAUTH
, ESTSAUTHPERSISTENT
και ESTSAUTHLIGHT
. Αυτά υπάρχουν επειδή ο χρήστης ήταν ενεργός στο Azure πρόσφατα.
Απλά μεταβείτε στο login.microsoftonline.com και προσθέστε το cookie ESTSAUTHPERSISTENT
(που δημιουργείται από την επιλογή "Παραμονή συνδεδεμένου") ή το ESTSAUTH
. Και θα γίνει η αυθεντικοποίηση.
Αναφορές
Last updated