Az - Pass the Cookie

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

¿Por qué Cookies?

Las cookies del navegador son un gran mecanismo para eludir la autenticación y MFA. Dado que el usuario ya se ha autenticado en la aplicación, la cookie de sesión se puede usar para acceder a datos como ese usuario, sin necesidad de volver a autenticarse.

Puedes ver dónde están ubicadas las cookies del navegador en:

Browser Artifacts - HackTricks

Ataque

La parte desafiante es que esas cookies están encriptadas para el usuario a través de la API de Protección de Datos de Microsoft (DPAPI). Esto se encripta utilizando claves criptográficas vinculadas al usuario al que pertenecen las cookies. Puedes encontrar más información sobre esto en:

DPAPI - Extracting Passwords - HackTricks

Con Mimikatz en mano, puedo extraer las cookies de un usuario aunque estén encriptadas con este comando:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Para Azure, nos importan las cookies de autenticación, incluyendo ESTSAUTH, ESTSAUTHPERSISTENT y ESTSAUTHLIGHT. Estas están presentes porque el usuario ha estado activo en Azure recientemente.

Simplemente navega a login.microsoftonline.com y añade la cookie ESTSAUTHPERSISTENT (generada por la opción “Mantener sesión iniciada”) o ESTSAUTH. Y estarás autenticado.

Referencias

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks