Az - Pass the Cookie

Why Cookies?

브라우저 쿠키는 인증 및 MFA를 우회하는 훌륭한 메커니즘입니다. 사용자가 이미 애플리케이션에 인증되었기 때문에, 세션 쿠키는 재인증 없이 해당 사용자로서 데이터에 접근하는 데 사용될 수 있습니다.

브라우저 쿠키가 위치한 곳을 확인할 수 있습니다:

Attack

도전적인 부분은 이러한 쿠키가 사용자를 위해 Microsoft Data Protection API (DPAPI)로 암호화되어 있다는 것입니다. 이는 쿠키가 속한 사용자와 연결된 암호화 키를 사용하여 암호화됩니다. 이에 대한 더 많은 정보는 다음에서 확인할 수 있습니다:

Mimikatz를 사용하여, 이 명령어로 사용자의 쿠키를 추출할 수 있습니다.

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Azure에서는 ESTSAUTH, ESTSAUTHPERSISTENT, **ESTSAUTHLIGHT**를 포함한 인증 쿠키에 주의해야 합니다. 이는 사용자가 최근에 Azure에서 활동했기 때문입니다.

login.microsoftonline.com으로 이동하여 “Stay Signed In” 옵션으로 생성된 쿠키 ESTSAUTHPERSISTENT 또는 **ESTSAUTH**를 추가하면 인증됩니다.

References

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/