Az - Pass the Cookie
¿Por qué las Cookies?
Las cookies del navegador son un mecanismo excelente para burlar la autenticación y el MFA. Debido a que el usuario ya se ha autenticado en la aplicación, la cookie de sesión simplemente se puede utilizar para acceder a los datos como ese usuario, sin necesidad de volver a autenticarse.
Puedes ver dónde se encuentran las cookies del navegador en:
Ataque
La parte desafiante es que esas cookies están encriptadas para el usuario a través de la API de Protección de Datos de Microsoft (DPAPI). Están encriptadas utilizando claves criptográficas vinculadas al usuario a las que pertenecen las cookies. Puedes encontrar más información al respecto en:
Con Mimikatz en mano, puedo extraer las cookies de un usuario aunque estén encriptadas con este comando:
Para Azure, nos importan las cookies de autenticación, incluidas ESTSAUTH
, ESTSAUTHPERSISTENT
y ESTSAUTHLIGHT
. Estas están presentes porque el usuario ha estado activo en Azure recientemente.
Simplemente navega a login.microsoftonline.com y agrega la cookie ESTSAUTHPERSISTENT
(generada por la opción "Mantener la sesión iniciada") o ESTSAUTH
. Y estarás autenticado.
Referencias
Última actualización