Az - Pass the Cookie
Neden Çerezler?
Tarayıcı çerezleri, kimlik doğrulamayı ve MFA'yı atlamak için harika bir mekanizmadır. Kullanıcı zaten uygulamada kimlik doğruladığı için oturum çerezi, yeniden kimlik doğrulama yapmadan kullanıcı olarak verilere erişmek için kullanılabilir.
Tarayıcı çerezlerinin nerede bulunduğunu aşağıdaki linkte görebilirsiniz:
Saldırı
Zor olan kısım, bu çerezlerin kullanıcı için Microsoft Veri Koruma API'si (DPAPI) aracılığıyla şifrelenmiş olmasıdır. Bu, çerezlere ait olan kullanıcıya bağlı şifreleme anahtarlarıyla şifrelenir. Bu konu hakkında daha fazla bilgiyi aşağıdaki linkte bulabilirsiniz:
Mimikatz ile, bu komutu kullanarak bir kullanıcının çerezlerini şifreli olsalar bile çıkarabiliyorum:
Azure için, ESTSAUTH
, ESTSAUTHPERSISTENT
ve ESTSAUTHLIGHT
gibi kimlik doğrulama çerezlerine dikkat ediyoruz. Bunlar, kullanıcının Azure üzerinde son zamanlarda etkin olduğunu gösterir.
Sadece login.microsoftonline.com adresine gidin ve ESTSAUTHPERSISTENT
(Stay Signed In seçeneğiyle oluşturulan) veya ESTSAUTH
çerezini ekleyin. Böylece kimlik doğrulaması yapabilirsiniz.
Referanslar
Last updated