Az - Pass the Cookie

Reading time: 3 minutes

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

I cookie del browser sono un ottimo meccanismo per bypassare l'autenticazione e l'MFA. Poiché l'utente si è già autenticato nell'applicazione, il cookie di sessione può essere utilizzato per accedere ai dati come quell'utente, senza bisogno di ri-autenticarsi.

Puoi vedere dove si trovano i cookie del browser in:

Browser Artifacts - HackTricks

Attacco

La parte difficile è che questi cookie sono crittografati per l'utente tramite l'API di protezione dei dati di Microsoft (DPAPI). Questo è crittografato utilizzando chiavi crittografiche legate all'utente a cui appartengono i cookie. Puoi trovare ulteriori informazioni su questo in:

DPAPI - Extracting Passwords - HackTricks

Con Mimikatz in mano, sono in grado di estrarre i cookie di un utente anche se sono crittografati con questo comando:

bash
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Per Azure, ci interessano i cookie di autenticazione tra cui ESTSAUTH, ESTSAUTHPERSISTENT e ESTSAUTHLIGHT. Questi sono presenti perché l'utente è stato attivo su Azure di recente.

Basta navigare su login.microsoftonline.com e aggiungere il cookie ESTSAUTHPERSISTENT (generato dall'opzione “Rimani connesso”) o ESTSAUTH. E sarai autenticato.

Riferimenti

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks