Az - Pass the Cookie

Why Cookies?

ब्राउज़र cookies प्रमाणीकरण और MFA को बायपास करने के लिए एक शानदार तंत्र हैं। क्योंकि उपयोगकर्ता पहले ही एप्लिकेशन में प्रमाणीकरण कर चुका है, सत्र cookie का उपयोग उस उपयोगकर्ता के रूप में डेटा तक पहुँचने के लिए किया जा सकता है, बिना पुनः प्रमाणीकरण की आवश्यकता के।

आप देख सकते हैं कि ब्राउज़र कुकीज़ कहाँ स्थित हैं:

Attack

चुनौतीपूर्ण भाग यह है कि वे cookies एन्क्रिप्टेड हैं उपयोगकर्ता के लिए Microsoft Data Protection API (DPAPI) के माध्यम से। यह एन्क्रिप्टेड है उपयोगकर्ता से जुड़े क्रिप्टोग्राफिक कुंजी के साथ जिनसे कुकीज़ संबंधित हैं। आप इसके बारे में अधिक जानकारी यहाँ पा सकते हैं:

Mimikatz के साथ, मैं इस कमांड के साथ एक उपयोगकर्ता की कुकीज़ निकालने में सक्षम हूँ, भले ही वे एन्क्रिप्टेड हों:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

For Azure, हम प्रमाणीकरण कुकीज़ के बारे में चिंतित हैं जिनमें ESTSAUTH, ESTSAUTHPERSISTENT, और ESTSAUTHLIGHT शामिल हैं। ये वहाँ हैं क्योंकि उपयोगकर्ता हाल ही में Azure पर सक्रिय रहा है।

बस login.microsoftonline.com पर जाएं और कुकी ESTSAUTHPERSISTENT (जो “Stay Signed In” विकल्प द्वारा उत्पन्न होती है) या ESTSAUTH जोड़ें। और आप प्रमाणित हो जाएंगे।

References

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/