Dlaczego ciasteczka?

Przeglądarkowe ciasteczka są świetnym mechanizmem do omijania uwierzytelniania i MFA. Ponieważ użytkownik już uwierzytelniał się w aplikacji, sesyjne ciasteczko może być użyte do uzyskania dostępu do danych jako ten użytkownik, bez konieczności ponownego uwierzytelniania.

Możesz zobaczyć, gdzie znajdują się ciasteczka przeglądarki w:

Atak

Trudność polega na tym, że te ciasteczka są zaszyfrowane dla użytkownika za pomocą interfejsu API ochrony danych Microsoftu (DPAPI). Szyfrowanie to jest wykonywane za pomocą kryptograficznych kluczy powiązanych z użytkownikiem, do których należą ciasteczka. Więcej informacji na ten temat można znaleźć pod adresem:

Dzięki narzędziu Mimikatz jestem w stanie wydobyć ciasteczka użytkownika, nawet jeśli są one zaszyfrowane, za pomocą tego polecenia:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Dla Azure ważne są pliki cookie uwierzytelniające, w tym ESTSAUTH, ESTSAUTHPERSISTENT i ESTSAUTHLIGHT. Są one obecne, ponieważ użytkownik ostatnio był aktywny w Azure.

Po prostu przejdź do login.microsoftonline.com i dodaj plik cookie ESTSAUTHPERSISTENT (wygenerowany przez opcję "Zostań zalogowany") lub ESTSAUTH. Następnie zostaniesz uwierzytelniony.

Referencje

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/