Az - Pass the Cookie
Dlaczego ciasteczka?
Przeglądarkowe ciasteczka są świetnym mechanizmem do omijania uwierzytelniania i MFA. Ponieważ użytkownik już uwierzytelniał się w aplikacji, sesyjne ciasteczko może być użyte do uzyskania dostępu do danych jako ten użytkownik, bez konieczności ponownego uwierzytelniania.
Możesz zobaczyć, gdzie znajdują się ciasteczka przeglądarki w:
Atak
Trudność polega na tym, że te ciasteczka są zaszyfrowane dla użytkownika za pomocą interfejsu API ochrony danych Microsoftu (DPAPI). Szyfrowanie to jest wykonywane za pomocą kryptograficznych kluczy powiązanych z użytkownikiem, do których należą ciasteczka. Więcej informacji na ten temat można znaleźć pod adresem:
Dzięki narzędziu Mimikatz jestem w stanie wydobyć ciasteczka użytkownika, nawet jeśli są one zaszyfrowane, za pomocą tego polecenia:
Dla Azure ważne są pliki cookie uwierzytelniające, w tym ESTSAUTH
, ESTSAUTHPERSISTENT
i ESTSAUTHLIGHT
. Są one obecne, ponieważ użytkownik ostatnio był aktywny w Azure.
Po prostu przejdź do login.microsoftonline.com i dodaj plik cookie ESTSAUTHPERSISTENT
(wygenerowany przez opcję "Zostań zalogowany") lub ESTSAUTH
. Następnie zostaniesz uwierzytelniony.
Referencje
Last updated