Az - Pass the Cookie

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Zašto kolačići?

Browser kolačići su odličan mehanizam za obići autentifikaciju i MFA. Pošto je korisnik već autentifikovan u aplikaciji, sesijski kolačić se može koristiti za pristup podacima kao taj korisnik, bez potrebe za ponovnom autentifikacijom.

Možete videti gde se nalaze browser kolačići u:

Napad

Izazovan deo je to što su ti kolačići enkriptovani za korisnika putem Microsoft Data Protection API (DPAPI). Ovo je enkriptovano koristeći kriptografske ključeve vezane za korisnika kojem kolačići pripadaju. Možete pronaći više informacija o ovome u:

Sa Mimikatz-om u ruci, mogu izvući korisničke kolačiće čak iako su enkriptovani ovom komandom:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Za Azure, brinemo se o autentifikacionim kolačićima uključujući ESTSAUTH, ESTSAUTHPERSISTENT i ESTSAUTHLIGHT. Oni su tu jer je korisnik nedavno bio aktivan na Azure-u.

Jednostavno idite na login.microsoftonline.com i dodajte kolačić ESTSAUTHPERSISTENT (generisan opcijom “Stay Signed In”) ili ESTSAUTH. I bićete autentifikovani.

References

https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAz - Local Cloud Credentials NextAz - Pass the Certificate

Last updated 3 days ago