Az - Pass the Cookie

Reading time: 3 minutes

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Por que Cookies?

Cookies de navegador são um ótimo mecanismo para contornar a autenticação e MFA. Como o usuário já se autenticou no aplicativo, o cookie de sessão pode ser usado para acessar dados como aquele usuário, sem precisar se re-autenticar.

Você pode ver onde estão localizados os cookies do navegador em:

Browser Artifacts - HackTricks

Ataque

A parte desafiadora é que esses cookies estão criptografados para o usuário via a API de Proteção de Dados da Microsoft (DPAPI). Isso é criptografado usando chaves criptográficas ligadas ao usuário a que os cookies pertencem. Você pode encontrar mais informações sobre isso em:

DPAPI - Extracting Passwords - HackTricks

Com o Mimikatz em mãos, sou capaz de extrair os cookies de um usuário mesmo que estejam criptografados com este comando:

bash
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Para o Azure, nos importamos com os cookies de autenticação, incluindo ESTSAUTH, ESTSAUTHPERSISTENT e ESTSAUTHLIGHT. Eles estão lá porque o usuário esteve ativo no Azure recentemente.

Basta navegar até login.microsoftonline.com e adicionar o cookie ESTSAUTHPERSISTENT (gerado pela opção “Permanecer Conectado”) ou ESTSAUTH. E você estará autenticado.

Referências

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks