Az - Processes Memory Access Token
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Como explicado em este vídeo, alguns softwares da Microsoft sincronizados com a nuvem (Excel, Teams...) podem armazenar tokens de acesso em texto claro na memória. Portanto, apenas dumps da memória do processo e grepando por tokens JWT podem te conceder acesso a vários recursos da vítima na nuvem, contornando o MFA.
Passos:
Faça o dump dos processos do excel sincronizados com o usuário EntraID usando sua ferramenta favorita.
Execute: string excel.dmp | grep 'eyJ0'
e encontre vários tokens na saída.
Encontre os tokens que mais lhe interessam e execute ferramentas sobre eles:
Observe que esses tipos de tokens de acesso também podem ser encontrados dentro de outros processos.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)