German - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Az - Pass the Cookie

Unterstützen Sie HackTricks

Warum Cookies?

Browser-Cookies sind ein großartiger Mechanismus, um die Authentifizierung und MFA zu umgehen. Da sich der Benutzer bereits in der Anwendung authentifiziert hat, kann das Sitzungs-Cookie einfach verwendet werden, um auf Daten zuzugreifen, als ob es sich um diesen Benutzer handelt, ohne sich erneut authentifizieren zu müssen.

Sie können sehen, wo sich Browser-Cookies befinden, unter:

Angriff

Die herausfordernde Aufgabe besteht darin, dass diese Cookies für den Benutzer über die Microsoft Data Protection API (DPAPI) verschlüsselt sind. Diese werden mit kryptografischen Schlüsseln verschlüsselt, die dem Benutzer zugeordnet sind, zu dem die Cookies gehören. Weitere Informationen dazu finden Sie unter:

Mit Mimikatz in der Hand kann ich die Cookies eines Benutzers extrahieren, auch wenn sie mit diesem Befehl verschlüsselt sind:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Für Azure sind wir an den Authentifizierungscookies ESTSAUTH, ESTSAUTHPERSISTENT und ESTSAUTHLIGHT interessiert. Diese sind vorhanden, weil der Benutzer kürzlich auf Azure aktiv war.

Navigieren Sie einfach zu login.microsoftonline.com und fügen Sie den Cookie ESTSAUTHPERSISTENT (generiert durch die Option "Angemeldet bleiben") oder ESTSAUTH hinzu. Und Sie werden authentifiziert.

Referenzen

PreviousAz - Local Cloud CredentialsNextAz - Pass the Certificate

Last updated