Az - Pass the Cookie
学习并练习 AWS 黑客技术:
HackTricks 培训 AWS 红队专家 (ARTE)
学习并练习 GCP 黑客技术:
HackTricks 培训 GCP 红队专家 (GRTE)
为什么使用 Cookies?
浏览器 cookies 是绕过身份验证和多因素认证(MFA)的重要机制。因为用户已经在应用程序中进行了身份验证,会话 cookie 可以被用来作为该用户访问数据,而无需重新进行身份验证。
您可以查看 浏览器 cookies 的位置:
攻击
具有挑战性的部分是这些 cookies 是通过 Microsoft 数据保护 API(DPAPI)为 用户 加密的。这是使用与属于这些 cookies 的用户相关的加密密钥进行加密的。您可以在以下链接找到更多信息:
有了 Mimikatz,我能够使用以下命令 提取用户的 cookies,即使它们是加密的:
对于Azure,我们关心包括**ESTSAUTH、ESTSAUTHPERSISTENT和ESTSAUTHLIGHT**在内的身份验证cookie。这些存在是因为用户最近在Azure上活跃。
只需导航至login.microsoftonline.com并添加由“保持登录状态”选项生成的cookie ESTSAUTHPERSISTENT 或 ESTSAUTH。然后您将被验证。
参考
Last updated
