Az - Pass the Cookie

Tip

Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoie o HackTricks

Por que Cookies?

Cookies de navegador são um ótimo mecanismo para contornar autenticação e MFA. Como o usuário já se autenticou na aplicação, o cookie de sessão pode ser usado para acessar dados como aquele usuário, sem precisar re-autenticar.

Você pode ver onde estão os cookies do navegador em:

Browser Artifacts - HackTricks

Ataque

A parte desafiadora é que esses cookies estão criptografados para o usuário via a API de Proteção de Dados da Microsoft (DPAPI). Isso é criptografado usando chaves criptográficas ligadas ao usuário a que os cookies pertencem. Você pode encontrar mais informações sobre isso em:

DPAPI - Extracting Passwords - HackTricks

Com o Mimikatz em mãos, sou capaz de extrair os cookies de um usuário mesmo que estejam criptografados com este comando:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Para o Azure, nos preocupamos com os cookies de autenticação, incluindo ESTSAUTH, ESTSAUTHPERSISTENT e ESTSAUTHLIGHT. Eles estão lá porque o usuário tem estado ativo no Azure recentemente.

Basta navegar até login.microsoftonline.com e adicionar o cookie ESTSAUTHPERSISTENT (gerado pela opção “Permanecer Conectado”) ou ESTSAUTH. E você estará autenticado.

Referências

Tip

Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoie o HackTricks