Az - Pass the Cookie

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
Adquira o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

Por que Cookies?

Os cookies do navegador são um ótimo mecanismo para burlar autenticação e MFA. Como o usuário já se autenticou na aplicação, o cookie de sessão pode ser usado para acessar dados como esse usuário, sem a necessidade de reautenticação.

Você pode ver onde os cookies do navegador estão localizados em:

Browser ArtifactsHackTricks

Ataque

A parte desafiadora é que esses cookies são criptografados para o usuário via a API de Proteção de Dados da Microsoft (DPAPI). Isso é criptografado usando chaves criptográficas vinculadas ao usuário a que os cookies pertencem. Você pode encontrar mais informações sobre isso em:

DPAPI - Extracting PasswordsHackTricks

Com o Mimikatz em mãos, consigo extrair os cookies de um usuário mesmo que estejam criptografados com este comando:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Para o Azure, nos preocupamos com os cookies de autenticação, incluindo ESTSAUTH, ESTSAUTHPERSISTENT e ESTSAUTHLIGHT. Eles estão lá porque o usuário esteve ativo no Azure ultimamente.

Basta navegar até login.microsoftonline.com e adicionar o cookie ESTSAUTHPERSISTENT (gerado pela opção "Mantenha-me conectado") ou ESTSAUTH. E você será autenticado.

Referências

https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/

AnteriorAz - Local Cloud Credentials SiguienteAz - Pass the Certificate

Última actualización hace 3 meses