Az - Pass the Cookie
Чому куки?
Куки браузера - це великий механізм для обхідної аутентифікації та MFA. Оскільки користувач вже пройшов аутентифікацію в додатку, сеансовий кукі може бути використаний для доступу до даних як цей користувач, без необхідності повторної аутентифікації.
Ви можете побачити, де знаходяться куки браузера:
Атака
Складність полягає в тому, що ці куки зашифровані для користувача за допомогою API захисту даних Microsoft (DPAPI). Це зашифровано за допомогою криптографічних ключів, пов'язаних з користувачем, до якого належать куки. Додаткову інформацію можна знайти за посиланням:
З Mimikatz у руках я можу витягти куки користувача, навіть якщо вони зашифровані за допомогою цієї команди:
Для Azure нам важливі аутентифікаційні файли cookie, включаючи ESTSAUTH
, ESTSAUTHPERSISTENT
та ESTSAUTHLIGHT
. Вони там, оскільки користувач нещодавно був активним на Azure.
Просто перейдіть на login.microsoftonline.com та додайте файли cookie ESTSAUTHPERSISTENT
(створені за допомогою опції "Залишатися увімкненим") або ESTSAUTH
. І ви будете автентифіковані.
Посилання
Last updated