Az - Processes Memory Access Token
Informações Básicas
Como explicado em este vídeo, alguns softwares da Microsoft sincronizados com a nuvem (Excel, Teams...) podem armazenar tokens de acesso em texto claro na memória. Portanto, apenas dumper a memória do processo e grepar por tokens JWT pode te conceder acesso a vários recursos da vítima na nuvem, contornando o MFA.
Passos:
Dumpe os processos do excel sincronizados com o usuário EntraID usando sua ferramenta favorita.
Execute:
string excel.dmp | grep 'eyJ0'
e encontre vários tokens na saída.Encontre os tokens que mais lhe interessam e execute ferramentas sobre eles:
Observe que esse tipo de tokens de acesso também pode ser encontrado dentro de outros processos.
Last updated