Az - Processes Memory Access Token
Основна інформація
Як пояснено в цьому відео, деяке програмне забезпечення Microsoft, синхронізоване з хмарою (Excel, Teams...), може зберігати токени доступу у відкритому тексті в пам'яті. Тому просто дампінг пам'яті процесу та grep для JWT токенів може надати вам доступ до кількох ресурсів жертви в хмарі, обминаючи MFA.
Кроки:
Дамп процесів excel, синхронізованих з користувачем EntraID, за допомогою вашого улюбленого інструменту.
Запустіть:
string excel.dmp | grep 'eyJ0'
і знайдіть кілька токенів у виході.Знайдіть токени, які вас найбільше цікавлять, і запустіть інструменти над ними:
Зверніть увагу, що такі токени доступу також можуть бути знайдені всередині інших процесів.
Last updated