Az - Pass the Cookie
Por que Cookies?
Os cookies do navegador são um ótimo mecanismo para burlar autenticação e MFA. Como o usuário já se autenticou na aplicação, o cookie de sessão pode ser usado para acessar dados como esse usuário, sem a necessidade de reautenticação.
Você pode ver onde os cookies do navegador estão localizados em:
Ataque
A parte desafiadora é que esses cookies são criptografados para o usuário via a API de Proteção de Dados da Microsoft (DPAPI). Isso é criptografado usando chaves criptográficas vinculadas ao usuário a que os cookies pertencem. Você pode encontrar mais informações sobre isso em:
Com o Mimikatz em mãos, consigo extrair os cookies de um usuário mesmo que estejam criptografados com este comando:
Para o Azure, nos preocupamos com os cookies de autenticação, incluindo ESTSAUTH
, ESTSAUTHPERSISTENT
e ESTSAUTHLIGHT
. Eles estão lá porque o usuário esteve ativo no Azure ultimamente.
Basta navegar até login.microsoftonline.com e adicionar o cookie ESTSAUTHPERSISTENT
(gerado pela opção "Mantenha-me conectado") ou ESTSAUTH
. E você será autenticado.
Referências
Última actualización