Hoekom Koekies?

Webblaaier koekies is 'n uitstekende meganisme om verifikasie en MFA te omseil. Omdat die gebruiker reeds geverifieer is in die toepassing, kan die sessie-koekie net gebruik word om data as daardie gebruiker te toegang, sonder om weer te verifieer.

Jy kan sien waar webblaaier-koekies geleë is in:

Aanval

Die uitdagende deel is dat hierdie koekies versleutel is vir die gebruiker via die Microsoft Data Protection API (DPAPI). Dit word versleutel met kriptografiese sleutels wat aan die gebruiker gekoppel is waaraan die koekies behoort. Jy kan meer inligting hieroor vind in:

Met Mimikatz in die hand kan ek 'n gebruiker se koekies onttrek, selfs al is hulle versleutel, met hierdie bevel:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Vir Azure, gee ons om omgee vir die outentiseringskoekies, insluitend ESTSAUTH, ESTSAUTHPERSISTENT, en ESTSAUTHLIGHT. Dit is daar omdat die gebruiker onlangs aktief op Azure was.

Navigeer eenvoudig na login.microsoftonline.com en voeg die koekie ESTSAUTHPERSISTENT (deur die "Bly Aangemeld" opsie gegenereer) of ESTSAUTH by. En jy sal geoutentiseer word.

Verwysings

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/