Az - Pass the Cookie
Perché i Cookie?
I cookie del browser sono un ottimo meccanismo per eludere l'autenticazione e l'MFA. Poiché l'utente si è già autenticato nell'applicazione, il cookie di sessione può essere utilizzato per accedere ai dati come quell'utente, senza la necessità di una nuova autenticazione.
Puoi vedere dove si trovano i cookie del browser in:
Attacco
La parte difficile è che quei cookie sono criptati per l'utente tramite l'API di protezione dei dati di Microsoft (DPAPI). Questo viene criptato utilizzando chiavi legate all'utente a cui appartengono i cookie. Puoi trovare ulteriori informazioni al riguardo in:
Con Mimikatz in mano, sono in grado di estrarre i cookie di un utente anche se sono criptati con questo comando:
Per Azure, ci interessano i cookie di autenticazione, tra cui ESTSAUTH
, ESTSAUTHPERSISTENT
e ESTSAUTHLIGHT
. Questi sono presenti perché l'utente è stato attivo su Azure di recente.
Basta navigare su login.microsoftonline.com e aggiungere il cookie ESTSAUTHPERSISTENT
(generato dall'opzione "Rimani connesso") o ESTSAUTH
. In questo modo verrai autenticato.
Riferimenti
Last updated