Az - Pass the Cookie

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Чому куки?

Куки браузера є чудовим механізмом для обходу аутентифікації та MFA. Оскільки користувач вже аутентифікований в додатку, куки сесії можуть бути використані для доступу до даних як цей користувач, без необхідності повторної аутентифікації.

Ви можете побачити, де знаходяться куки браузера в:

Browser ArtifactsHackTricks

Атака

Складна частина полягає в тому, що ці куки зашифровані для користувача через Microsoft Data Protection API (DPAPI). Це зашифровано за допомогою криптографічних ключів, прив'язаних до користувача, до яких належать куки. Ви можете знайти більше інформації про це в:

З Mimikatz в руках, я можу екстрагувати куки користувача, навіть якщо вони зашифровані, за допомогою цієї команди:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Для Azure нас цікавлять куки аутентифікації, включаючи ESTSAUTH, ESTSAUTHPERSISTENT та ESTSAUTHLIGHT. Вони там, тому що користувач нещодавно був активний в Azure.

Просто перейдіть на login.microsoftonline.com і додайте куки ESTSAUTHPERSISTENT (згенеровані опцією “Залишатися в системі”) або ESTSAUTH. І ви будете аутентифіковані.

Посилання

https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAz - Local Cloud Credentials NextAz - Pass the Certificate

Last updated 1 month ago