Az - Pass the Cookie
왜 쿠키를 사용하는가?
브라우저 쿠키는 인증 및 MFA 우회에 효과적인 메커니즘입니다. 사용자가 이미 응용 프로그램에서 인증되었기 때문에 세션 쿠키를 사용하여 다시 인증할 필요 없이 해당 사용자로서 데이터에 액세스할 수 있습니다.
브라우저 쿠키가 위치한 곳은 다음에서 확인할 수 있습니다:
공격
도전적인 부분은 이러한 쿠키가 사용자를 위해 Microsoft Data Protection API (DPAPI)를 통해 암호화된다는 것입니다. 이는 사용자에 연결된 암호화 키를 사용하여 암호화됩니다. 이에 대한 자세한 정보는 다음에서 확인할 수 있습니다:
Mimikatz를 사용하여 이 명령으로 암호화된 사용자의 쿠키를 추출할 수 있습니다:
Azure의 경우, ESTSAUTH
, ESTSAUTHPERSISTENT
, **ESTSAUTHLIGHT
**와 같은 인증 쿠키에 관심을 둡니다. 이러한 쿠키는 사용자가 최근에 Azure에서 활동한 것을 나타냅니다.
단순히 login.microsoftonline.com으로 이동하고 ESTSAUTHPERSISTENT
(Stay Signed In 옵션으로 생성된) 또는 ESTSAUTH
쿠키를 추가하면 인증됩니다.
참고 자료
最終更新