Az - Pass the Cookie

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstütze HackTricks

Warum Cookies?

Browser cookies sind ein großartiger Mechanismus, um Authentifizierung und MFA zu umgehen. Da der Benutzer bereits in der Anwendung authentifiziert ist, kann das Session-Cookie einfach verwendet werden, um auf Daten als dieser Benutzer zuzugreifen, ohne sich erneut authentifizieren zu müssen.

Sie können sehen, wo Browser-Cookies gespeichert sind in:

Browser Artifacts - HackTricks

Angriff

Der herausfordernde Teil ist, dass diese Cookies verschlüsselt sind für den Benutzer über die Microsoft Data Protection API (DPAPI). Dies wird mit kryptografischen Schlüsseln, die an den Benutzer gebunden sind, mit denen die Cookies verbunden sind, verschlüsselt. Weitere Informationen dazu finden Sie in:

DPAPI - Extracting Passwords - HackTricks

Mit Mimikatz in der Hand kann ich die Cookies eines Benutzers extrahieren, obwohl sie mit diesem Befehl verschlüsselt sind:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Für Azure interessieren wir uns für die Authentifizierungscookies, einschließlich ESTSAUTH, ESTSAUTHPERSISTENT und ESTSAUTHLIGHT. Diese sind vorhanden, weil der Benutzer in letzter Zeit aktiv auf Azure war.

Navigieren Sie einfach zu login.microsoftonline.com und fügen Sie das Cookie ESTSAUTHPERSISTENT (generiert durch die Option „Angemeldet bleiben“) oder ESTSAUTH hinzu. Und Sie werden authentifiziert.

References

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstütze HackTricks