Az - Pass the Cookie
なぜクッキーを使用するのか?
ブラウザのクッキーは、認証およびMFAをバイパスするための優れたメカニズムです。ユーザーがアプリケーションで認証済みであるため、セッションクッキーを使用して、再認証する必要なくそのユーザーとしてデータにアクセスできます。
ブラウザのクッキーがどこにあるかは次の場所で確認できます:
攻撃
難しい部分は、これらのクッキーがユーザーに対してMicrosoft Data Protection API(DPAPI)を介して暗号化されていることです。これは、クッキーが属するユーザーに関連する暗号鍵を使用して暗号化されています。これについての詳細は次で確認できます:
Mimikatzを使用すると、このコマンドでユーザーのクッキーを抽出できます。
Azureでは、ESTSAUTH
、ESTSAUTHPERSISTENT
、および**ESTSAUTHLIGHT
**などの認証クッキーが重要です。これらは、ユーザーが最近Azureでアクティブだったため存在します。
単にlogin.microsoftonline.comに移動し、ESTSAUTHPERSISTENT
(「サインインしたままにする」オプションによって生成される)または**ESTSAUTH
**のクッキーを追加するだけで、認証されます。
参考文献
最終更新