Az - Pass the Cookie

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Γιατί τα Cookies;

Τα cookies του προγράμματος περιήγησης είναι ένα εξαιρετικό μηχανισμός για την παράκαμψη της ταυτοποίησης και του MFA. Επειδή ο χρήστης έχει ήδη πιστοποιηθεί στην εφαρμογή, το cookie της συνεδρίας μπορεί απλώς να χρησιμοποιηθεί για την πρόσβαση σε δεδομένα ως αυτός ο χρήστης, χωρίς να χρειάζεται να γίνει νέα ταυτοποίηση.

Μπορείτε να δείτε πού βρίσκονται τα cookies του προγράμματος περιήγησης στον παρακάτω σύνδεσμο:

Browser ArtifactsHackTricks

Επίθεση

Το πρόβλημα είναι ότι αυτά τα cookies είναι κρυπτογραφημένα για τον χρήστη μέσω του Microsoft Data Protection API (DPAPI). Αυτό κρυπτογραφείται χρησιμοποιώντας κρυπτογραφικά κλειδιά που σχετίζονται με τον χρήστη στον οποίο ανήκουν τα cookies. Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με αυτό στον παρακάτω σύνδεσμο:

DPAPI - Extracting PasswordsHackTricks

Με το Mimikatz στο χέρι, μπορώ να εξάγω τα cookies ενός χρήστη ακόμα και αν είναι κρυπτογραφημένα με αυτήν την εντολή:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Για το Azure, μας ενδιαφέρουν τα αυθεντικοποιητικά cookies, συμπεριλαμβανομένων των ESTSAUTH, ESTSAUTHPERSISTENT και ESTSAUTHLIGHT. Αυτά υπάρχουν επειδή ο χρήστης ήταν ενεργός στο Azure πρόσφατα.

Απλά μεταβείτε στο login.microsoftonline.com και προσθέστε το cookie ESTSAUTHPERSISTENT (που δημιουργείται από την επιλογή "Παραμονή συνδεδεμένου") ή το ESTSAUTH. Και θα γίνει η αυθεντικοποίηση.

Αναφορές

https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/

Μάθετε το hacking του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΠΑΚΕΤΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα κόλπα σας για το hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

PreviousAz - Local Cloud Credentials NextAz - Pass the Certificate

Last updated 3 months ago