Az - Pass the Cookie

Lernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merch
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositories einreichen.

Warum Cookies?

Browser-Cookies sind ein großartiger Mechanismus, um die Authentifizierung und MFA zu umgehen. Da sich der Benutzer bereits in der Anwendung authentifiziert hat, kann das Sitzungs-Cookie einfach verwendet werden, um auf Daten zuzugreifen, als ob es sich um diesen Benutzer handelt, ohne sich erneut authentifizieren zu müssen.

Sie können sehen, wo sich Browser-Cookies befinden, unter:

Browser ArtifactsHackTricks

Angriff

Die herausfordernde Aufgabe besteht darin, dass diese Cookies für den Benutzer verschlüsselt sind, über die Microsoft Data Protection API (DPAPI). Diese werden mit kryptografischen Schlüsseln verschlüsselt, die dem Benutzer zugeordnet sind, zu dem die Cookies gehören. Weitere Informationen dazu finden Sie unter:

DPAPI - Extracting PasswordsHackTricks

Mit Mimikatz in der Hand kann ich mit diesem Befehl die Cookies eines Benutzers extrahieren, auch wenn sie verschlüsselt sind:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Für Azure sind die Authentifizierungscookies ESTSAUTH, ESTSAUTHPERSISTENT und ESTSAUTHLIGHT wichtig. Diese sind vorhanden, weil der Benutzer in letzter Zeit aktiv auf Azure war.

Navigieren Sie einfach zu login.microsoftonline.com und fügen Sie das Cookie ESTSAUTHPERSISTENT (generiert durch die Option "Angemeldet bleiben") oder ESTSAUTH hinzu. Dann werden Sie authentifiziert.

Referenzen

https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/

PreviousAz - Local Cloud Credentials NextAz - Pass the Certificate

Last updated 2 months ago