Az - Pass the Cookie

Reading time: 4 minutes

なぜクッキーなのか？

ブラウザのクッキーは、認証とMFAをバイパスするための優れたメカニズムです。ユーザーがすでにアプリケーションに認証されているため、セッションクッキーを使用して、そのユーザーとしてデータにアクセスすることができ、再認証は必要ありません。

ブラウザのクッキーの場所は次のリンクで確認できます：

Browser Artifacts - HackTricks

攻撃

難しい部分は、これらのクッキーがユーザーのために暗号化されていることです。これはMicrosoft Data Protection API（DPAPI）を介して暗号化されています。これは、クッキーが属するユーザーに結びついた暗号的なキーを使用して暗号化されています。これに関する詳細情報は次のリンクで確認できます：

DPAPI - Extracting Passwords - HackTricks

Mimikatzを手に入れれば、次のコマンドを使用して、暗号化されているにもかかわらずユーザーのクッキーを抽出することができます：

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Azureでは、ESTSAUTH、ESTSAUTHPERSISTENT、および**ESTSAUTHLIGHT**を含む認証クッキーが重要です。これらは、ユーザーが最近Azureでアクティブであったために存在します。

login.microsoftonline.comに移動し、クッキー**ESTSAUTHPERSISTENT（「サインインを維持」オプションによって生成された）またはESTSAUTH**を追加します。そうすれば、認証されます。

References

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/