Az - Processes Memory Access Token

PreviousAz - Phishing Primary Refresh Token (Microsoft Entra)NextAz - Primary Refresh Token (PRT)

Last updated 3 days ago

Az - Processes Memory Access Token

Learn & practice AWS Hacking: Learn & practice GCP Hacking:

Support HackTricks

Check the !
Join the 💬 or the or follow us on Twitter 🐦 .
Share hacking tricks by submitting PRs to the and github repos.

Основна інформація

Як пояснено в , деяке програмне забезпечення Microsoft, синхронізоване з хмарою (Excel, Teams...), може зберігати токени доступу у відкритому тексті в пам'яті. Тому просто дампінг пам'яті процесу та grep для JWT токенів може надати вам доступ до кількох ресурсів жертви в хмарі, обминаючи MFA.

Кроки:

Дамп процесів Excel, синхронізованих з користувачем EntraID, за допомогою вашого улюбленого інструменту.
Запустіть: string excel.dmp | grep 'eyJ0' і знайдіть кілька токенів у виході.
Знайдіть токени, які вас найбільше цікавлять, і запустіть інструменти над ними:

Зверніть увагу, що такі токени доступу також можуть бути знайдені всередині інших процесів.

Support HackTricks

PreviousAz - Phishing Primary Refresh Token (Microsoft Entra)NextAz - Primary Refresh Token (PRT)

Last updated 3 days ago