Az - Pass the Cookie

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Why Cookies?

브라우저 쿠키는 인증 및 MFA를 우회하는 훌륭한 메커니즘입니다. 사용자가 이미 애플리케이션에서 인증을 받았기 때문에, 세션 쿠키는 재인증 없이 해당 사용자로서 데이터에 접근하는 데 사용될 수 있습니다.

브라우저 쿠키가 위치한 곳은 다음에서 확인할 수 있습니다:

Browser ArtifactsHackTricks

Attack

도전적인 부분은 이러한 쿠키가 사용자를 위해 Microsoft Data Protection API (DPAPI)로 암호화되어 있다는 것입니다. 이는 쿠키가 속한 사용자와 연결된 암호화 키를 사용하여 암호화됩니다. 이에 대한 더 많은 정보는 다음에서 확인할 수 있습니다:

DPAPI - Extracting PasswordsHackTricks

Mimikatz를 사용하여, 이 명령어로 사용자의 쿠키를 추출할 수 있습니다.

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Azure에서는 ESTSAUTH, ESTSAUTHPERSISTENT, **ESTSAUTHLIGHT**를 포함한 인증 쿠키에 주의해야 합니다. 이는 사용자가 최근에 Azure에서 활동했음을 나타냅니다.

References

https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/