Az - Pass the Cookie

Why Cookies?

Browser cookies प्रमाणीकरण और MFA को बायपास करने के लिए एक शानदार तंत्र हैं। क्योंकि उपयोगकर्ता पहले ही एप्लिकेशन में प्रमाणीकरण कर चुका है, सत्र cookie का उपयोग उस उपयोगकर्ता के रूप में डेटा तक पहुँचने के लिए किया जा सकता है, बिना पुनः प्रमाणीकरण की आवश्यकता के।

आप देख सकते हैं कि ब्राउज़र कुकीज़ कहाँ स्थित हैं:

Attack

चुनौतीपूर्ण भाग यह है कि वे कुकीज़ एन्क्रिप्टेड हैं उपयोगकर्ता के लिए Microsoft Data Protection API (DPAPI) के माध्यम से। यह एन्क्रिप्टेड है उपयोगकर्ता से जुड़े क्रिप्टोग्राफिक कुंजी के साथ जिनकी कुकीज़ हैं। आप इसके बारे में अधिक जानकारी यहाँ पा सकते हैं:

Mimikatz के साथ, मैं इस कमांड के साथ एक उपयोगकर्ता की कुकीज़ निकालने में सक्षम हूँ, भले ही वे एन्क्रिप्टेड हों:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

For Azure, हम प्रमाणीकरण कुकीज़ के बारे में ध्यान रखते हैं जिनमें ESTSAUTH, ESTSAUTHPERSISTENT, और ESTSAUTHLIGHT शामिल हैं। ये वहाँ हैं क्योंकि उपयोगकर्ता हाल ही में Azure पर सक्रिय रहा है।

बस login.microsoftonline.com पर जाएं और कुकी ESTSAUTHPERSISTENT (जो “Stay Signed In” विकल्प द्वारा उत्पन्न होती है) या ESTSAUTH जोड़ें। और आप प्रमाणित हो जाएंगे।

References

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/