Az - Pass the Cookie

Impara e pratica l'Hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.

I cookie del browser sono un ottimo meccanismo per bypassare l'autenticazione e l'MFA. Poiché l'utente si è già autenticato nell'applicazione, il cookie di sessione può essere utilizzato per accedere ai dati come quell'utente, senza la necessità di una nuova autenticazione.

Puoi vedere dove sono posizionati i cookie del browser in:

Browser ArtifactsHackTricks

Attacco

La parte difficile è che quei cookie sono crittografati per l'utente tramite il Microsoft Data Protection API (DPAPI). Questo è crittografato utilizzando chiavi legate all'utente a cui appartengono i cookie. Puoi trovare ulteriori informazioni a riguardo in:

DPAPI - Extracting PasswordsHackTricks

Con Mimikatz a disposizione, sono in grado di estrarre i cookie di un utente anche se sono crittografati con questo comando:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Per Azure, ci preoccupiamo dei cookie di autenticazione tra cui ESTSAUTH, ESTSAUTHPERSISTENT e ESTSAUTHLIGHT. Questi sono presenti perché l'utente è stato attivo su Azure di recente.

Basta navigare su login.microsoftonline.com e aggiungere il cookie ESTSAUTHPERSISTENT (generato dall'opzione "Rimani connesso") o ESTSAUTH. E sarai autenticato.

Riferimenti

https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/

PreviousAz - Local Cloud Credentials NextAz - Pass the Certificate

Last updated 1 month ago

Perché i Cookie?

Attacco

Riferimenti