Az - Pass the Cookie

Вивчайте та практикуйте хакінг AWS: Школа хакінгу HackTricks AWS Red Team Expert (ARTE) Вивчайте та практикуйте хакінг GCP: Школа хакінгу HackTricks GCP Red Team Expert (GRTE)

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поширюйте хакінг-прийоми, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

Чому куки?

Куки браузера - це відмінний механізм для обхідної аутентифікації та MFA. Оскільки користувач вже пройшов аутентифікацію в додатку, сеансовий кукі може бути використаний для доступу до даних як цей користувач, не потребуючи повторної аутентифікації.

Ви можете побачити, де знаходяться куки браузера:

Browser ArtifactsHackTricks

Атака

Складність полягає в тому, що ці куки зашифровані для користувача за допомогою API захисту даних Microsoft (DPAPI). Це зашифровано за допомогою криптографічних ключів, пов'язаних з користувачем, до якого належать куки. Більше інформації можна знайти тут:

DPAPI - Extracting PasswordsHackTricks

Маючи Mimikatz під рукою, я можу витягти куки користувача, навіть якщо вони зашифровані за допомогою цієї команди:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Для Azure ми стурбовані аутентифікаційними кукі, включаючи ESTSAUTH, ESTSAUTHPERSISTENT та ESTSAUTHLIGHT. Вони там, оскільки користувач нещодавно був активним на Azure.

Просто перейдіть на login.microsoftonline.com та додайте куку ESTSAUTHPERSISTENT (створену опцією "Залишатися увімкненим") або ESTSAUTH. І ви будете автентифіковані.

Посилання

https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/

PreviousAz - Local Cloud Credentials NextAz - Pass the Certificate

Last updated 1 month ago