Az - Pass the Cookie

Why Cookies?

Ciasteczka przeglądarki są doskonałym mechanizmem do omijania uwierzytelniania i MFA. Ponieważ użytkownik już uwierzytelnił się w aplikacji, ciasteczko sesji może być użyte do dostępu do danych jako ten użytkownik, bez potrzeby ponownego uwierzytelniania.

Możesz zobaczyć, gdzie znajdują się ciasteczka przeglądarki w:

Attack

Wyzwanie polega na tym, że te ciasteczka są szyfrowane dla użytkownika za pomocą Microsoft Data Protection API (DPAPI). Jest to szyfrowane za pomocą kryptograficznych kluczy powiązanych z użytkownikiem, do którego należą ciasteczka. Więcej informacji na ten temat znajdziesz w:

Z Mimikatz w ręku, mogę wyodrębnić ciasteczka użytkownika, nawet jeśli są szyfrowane, za pomocą tego polecenia:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Dla Azure interesują nas ciasteczka uwierzytelniające, w tym ESTSAUTH, ESTSAUTHPERSISTENT i ESTSAUTHLIGHT. Są one obecne, ponieważ użytkownik był ostatnio aktywny na Azure.

Po prostu przejdź do login.microsoftonline.com i dodaj ciasteczko ESTSAUTHPERSISTENT (wygenerowane przez opcję „Pozostań zalogowany”) lub ESTSAUTH. A będziesz uwierzytelniony.

References

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/