开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

将Powershell Exchange EWS脚本身份验证转换为Oauth获取错误:访问群体声明值对当前资源无效

。

这个错误通常发生在将PowerShell Exchange EWS脚本的身份验证方式从基本身份验证转换为OAuth时。它表示在尝试使用OAuth进行身份验证时，访问令牌中的访问群体声明值与当前资源不匹配，导致身份验证失败。

要解决这个问题，可以采取以下步骤：

确认应用程序注册：首先，确保你已经在相关的身份提供商（如Microsoft Azure Active Directory）中注册了你的应用程序，并获得了正确的客户端ID和客户端机密。
检查应用程序权限：确保你的应用程序已被授予适当的权限来访问Exchange Web Services（EWS）资源。这通常涉及到在应用程序注册中设置正确的应用程序权限范围。
更新脚本代码：在PowerShell脚本中，确保你已经更新了身份验证部分的代码，以使用OAuth进行身份验证。这可能涉及到使用适当的OAuth库或模块，并提供正确的客户端ID、客户端机密和其他必要的参数。
检查访问令牌的访问群体声明值：在获得访问令牌后，检查访问令牌中的访问群体声明值是否与你尝试访问的资源匹配。如果不匹配，可能需要重新配置应用程序权限或请求不同的访问令牌。

总结起来，解决这个错误需要确保应用程序注册正确，应用程序权限设置正确，脚本代码更新正确，并检查访问令牌的访问群体声明值是否匹配。如果你需要更具体的帮助，建议参考腾讯云的相关文档和资源，例如腾讯云API网关、腾讯云身份认证服务等。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Exchange漏洞攻略来啦！！

2、特殊接口爆破对于某些限制登录次数的网站,还可以尝试对其NTLM验证接口进行爆破,最常见的就是ews接口,但除ews接E以外,还有以下接口地址。...Exchange 的负担 /owa “Outlook Web APP” Exchange owa 接口,用于通过web应用程序访问邮件、日历、任务和联系人等 /powershell 用于服务器管理的...微软官方说明中,对ews语法功能修改有三个版本,分别为 exchange server 2007、exchange server 2010、exchange server 2013。...该工具实现了将获取到的 Net-NTLM 哈希重放到真实 Exchange 服务器的 EWS 接口进行认证,通过 EWS 获取用户邮箱的邮件信息、附件下载、创建转发规则、查询GAL等。...1、邮箱托管 Exchange 邮件服务存在一种机制,可以设置权限将邮箱委托给指定用户管理使用。这种委托可以是全局的委托,可以通过后台修改；也可以是对单独文件夹进行委托,用户自行对文件夹设置。

6.4K2 0

Microsoft Exchang—权限提升

这可以通过向目标用户的邮箱添加规则来实现，该规则将电子邮件转发到攻击者控制的收件箱，或者将邮箱的访问权委托给他们的Exchange帐户。...NTLM哈希值也可能会被泄露，泄漏的NTLM哈希值可用于通过NTLM中继与Exchange Web服务进行身份验证。 ? 1....Python脚本 serverHTTP_relayNTLM.py脚本使用我们获取的SID来冒充受害者，同时我们还需要选择允许Exchange Server 通信的端口，例如8080。 ?...推送订阅脚本配置执行脚本将尝试通过EWS（Exchange Web服务）将pushSubscribe请求发送到Exchange。...规则 - 转发管理员电子邮件委托访问如果Microsoft Exchange用户具有分配的必要权限，则可以将账户连接到其他的邮箱，如果尝试直接去打开没有权限的另一个账户的邮箱就会产生以下的错误。

2K4 0

Microsoft Exchange - 权限提升

这可以通过向目标用户的邮箱添加规则来实现，该规则将电子邮件转发到攻击者控制的收件箱，或者将邮箱的访问权委托给他们的Exchange帐户。...NTLM哈希值也泄露，可用于通过NTLM中继与Exchange Web服务进行身份验证，泄漏的NTLM哈希值。零日活动博客已涵盖该漏洞的技术细节。...推送订阅脚本配置执行python脚本将尝试通过EWS（Exchange Web服务）将pushSubscribe请求发送到Exchange。...电子邮件自动转发已通过使用NTLM中继对Exchange进行身份验证，为目标帐户创建了一条规则，该规则将所有电子邮件转发到另一个收件箱。这可以通过检查目标帐户的收件箱规则来验证。 ?...尝试在没有权限的情况下直接打开另一个帐户的邮箱将产生以下错误。 ?

2.9K3 0

MICROSOFT EXCHANGE – 防止网络攻击

Exchange Web 服务允许客户端应用程序与 Exchange 服务器进行通信。如果 EWS 不能满足特定的业务需求，则应禁用访问。...从 Exchange 命令行管理程序执行以下命令将禁用对所有邮箱的访问。...禁用 Exchange Web 服务 (EWS) 的身份验证将阻止攻击。同样，禁用跨组织的 Exchange Web 服务邮箱访问将产生相同的结果。...Get-Mailbox | Set-CASMailbox -EwsEnabled $false 威胁参与者将无法通过 Exchange 进行身份验证以发送 API 调用，他们将在其终端中收到以下错误...完全禁用 EWS 身份验证还将进行 NTLM 中继攻击，这些攻击将作为目标在不破解密码哈希的情况下获取对用户邮箱的访问权限。

4K1 0

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

通常，当用户登录时，服务器会生成一对令牌：访问令牌和刷新令牌。访问令牌的生命周期很短，用于对用户进行身份验证并授予他们对受保护资源的访问权限。...访问令牌用于访问受保护的资源，例如 API，而刷新令牌用于在当前访问令牌过期时获取新的访问令牌。当 JWT 用作访问令牌时，它通常使用用户的声明和令牌的过期时间进行编码。...当当前访问令牌过期时，客户端可以使用刷新令牌来获取新的访问令牌。总之，OAuth 2.0 提供了一个用于保护资源访问的框架，而 JWT 提供了一种紧凑且安全的方式来编码和在各方之间传输声明。...客户端在每个访问受保护资源的请求中发送访问令牌。当访问令牌过期时，客户端将刷新令牌发送到认证服务器以获取新的访问令牌。 身份验证服务器验证刷新令牌并检查过期时间声明。...该脚本首先向令牌端点发出初始请求以获取访问令牌和刷新令牌。然后，对访问令牌进行解码以获取过期时间，并在向受保护端点发出请求之前检查该过期时间。

3093 0

网藤能力中心 | 深入Exchange Server在网络渗透下的利用方法

Windows Exchange Server，应该是国内外应用都非常广泛的邮件服务器了，本文将围绕Exchange展开，介绍在渗透测试中对Exchange服务器的攻击利用。...，客户端访问服务器提供了对以下不同接口访问Exchange服务器的处理。...1.利用自动发现服务进行暴力破解 Autodiscover自动发现服务使用Autodiscover.xml配置文件来对用户进行自动设置，获取该自动配置文件需要用户认证，如访问http://test2k12...3.获取组织内的所有邮箱用户列表利用已掌握的合法邮箱凭证，可以利用OWA或者EWS接口查询获取到Exchange组织中所有的邮箱用户的邮件地址，即全局地址列表。...该工具实现了将获取到的Net-NTLM哈希重放到真实Exchange服务器的EWS接口进行认证，通过EWS获取用户邮箱的邮件信息、附件下载、创建转发规则、查询GAL等。

4.3K2 0

Spring Cloud Security配置JWT和OAuth2的集成实现单点登录-示例

使用OAuth2和JWT来实现单点登录。下面是一个简单的示例：用户在我们的应用程序中进行身份验证。应用程序将向外部OAuth2认证服务器发送请求，以获取访问令牌。...认证服务器将验证用户的身份并返回访问令牌。应用程序将使用访问令牌向资源服务器发送请求。资源服务器将验证访问令牌，并返回受保护的数据。这个示例展示了OAuth2和JWT如何协同工作来实现单点登录和授权。...创建一个资源服务器接下来，我们将创建一个资源服务器，以确保只有经过身份验证的用户才能访问受保护的API端点。...我们允许对授权端点进行匿名访问，其他所有端点都需要经过OAuth2认证。...如果一切正常，网关将转发请求到正确的微服务，并使用JWT令牌进行身份验证。如果JWT令牌无效或过期，网关将返回一个401 Unauthorized响应。

2.8K7 1

通过ACLs实现权限提升

添加为Group_C的成员时，Bob不仅是Group_C的成员，而且还是Group _ B和Group_A的间接成员，这意味着当向Group_A授予对某个对象或资源的访问权限时，Bob也可以访问该特定资源...Exchange时创建的，并提供对Exchange相关访问权限，除了访问这些Exchange设置之外，它还允许其成员修改其他Exchange安全组的组成员身份，例如：Exchange Trusted Subsystem...，这需要一些时间来枚举，但最终可能会产生一个链来获取domain对象上的writeDACL权限计算完链后，脚本将开始利用链中的每一步：用户被添加到必要的组中两个ACE被添加到域对象的ACL中 Replicating...PowerShell函数Invoke-Webrequest，它将从系统角度运行，标志-UseDefaultCredentials将启用NTLM的自动身份验证 应该注意的是，在Active Directory...Windows权限组的writeacl权限下面的GitHub页面包含一个PowerShell脚本，该脚本可以对此有所帮助:https://github.com/gdedrouas/Exchange-AD-Privesc

2.3K3 0

Spring Security 系列(2) —— Spring Security OAuth2

(F) 用户代理在本地执行 Web 托管的客户机资源提供的脚本，该脚本提取访问令牌。 (G) 用户代理将访问令牌传递给客户端。...通过将存储的凭据转换为访问令牌来对 OAuth 进行身份验证。...© 授权服务器对客户端进行身份验证并验证资源所有者凭据，如果有效，则颁发访问令牌。...刷新令牌由授权服务器颁发给客户端，用于在当前访问令牌无效或过期时获取新的访问令牌，或者获取具有相同或更窄范围的其他访问令牌（访问令牌的生存期可能比资源所有者授权的权限短，权限更少）。...如果客户端知道访问令牌已过期，它将跳到步骤（G）;否则，它会发出另一个受保护的资源请求。（F）由于访问令牌无效，资源服务器将返回无效令牌错误。

5.9K2 0

Active Directory中获取域管理员权限的攻击方法

由于经过身份验证的用户（任何域用户或受信任域中的用户）对 SYSVOL 具有读取权限，因此域中的任何人都可以在 SYSVOL 共享中搜索包含“cpassword”的 XML 文件，该值是包含 AES 加密密码的值...运行 Microsoft Exchange 客户端访问服务器 (CAS)、Microsoft Exchange OWA、Microsoft SQL 和终端服务 (RDP) 等应用程序的服务器往往在内存中拥有大量来自最近经过身份验证的用户...Pass-the-Ticket：获取 Kerberos 票证并用于访问资源。票证有效期至票证有效期到期（通常为 7 天）。...请注意，智能卡不能防止凭据盗窃，因为需要智能卡身份验证的帐户具有关联的密码哈希，该哈希在后台用于资源访问。智能卡仅确保对系统进行身份验证的用户拥有智能卡。...通过对虚拟化主机的管理员权限，可以克隆虚拟 DC 并离线复制相关数据。获取对虚拟 DC 存储数据的访问权限，并有权访问域凭据。你运行 VMWare 吗？

5.2K1 0

警告：新的攻击活动利用了 MICROSOFT EXCHANGE SERVER 上的一个新的 0-DAY RCE 漏洞

感谢发现前 1 天 Exchange 漏洞的经验，RedTeam 对 Exchange 的代码流程和处理机制有深入的了解，因此减少了研究时间，并迅速发现了漏洞。...- GTSC Redteam 成功地弄清楚了如何使用上述路径访问 Exchange 后端中的组件并执行 RCE。但是目前，我们还不想发布该漏洞的技术细节。...之后，攻击者使用rar.exe压缩转储文件并将其复制到 Exchange 服务器的 webroot 中。不幸的是，在响应过程中，上述文件在被入侵的系统上不再存在，可能是由于黑客删除了证据。...从Run.mi返回的结果将被转换为 base64 字符串。...值，接下来的 16 个字节是密钥值，其余的是数据。

1.1K2 0

Active Directory渗透测试典型案例（2）特权提升和信息收集

它的工作原理是查询Exchange服务器，获取包含Exchange服务器凭据的响应，然后通过ntlmrelayx将响应中的凭据中继到域控制器，然后修改用户的权限，以便他们可以在域控制器上转储哈希值。...使用rsmith的特权在DC上转储哈希值通过对所有用户使用哈希，现在可以破解它们了。...通过导入票据，我们可以访问域控制器。同样，这是利用系统管理员错误的并添加“用户”组以便对DC具有通用的写访问权限的设置事实。尽管我们无法通过SMB访问它，但我们修改了允许我们访问的权。.../ADAPE.ps1 由于包含了所有必需的脚本，因此不需要访问到Internet，而是将结果存储在可导出的capture.zip文件中。 ? 错误消息是正常的，除非它被中断。然后给出错误报告。 ?...在我的参与和评估中，我经常运行一些PowerShell脚本来帮助识别下一个目标，检查错误的组策略设置，AD错误配置，缺少补丁等。

2.5K2 0

SPN服务主体名称发现详解

Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN)，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。...然后，客户端计算机使用该票证来访问网络资源。在内部网络中，SPN扫描通过查询向域控制器执行服务发现。这对于红队而言，可以帮助他们识别正在运行重要服务的主机，如终端、交换机、微软SQL等，并隐藏他们。...这些脚本是PowerShell AD Recon存储库的一部分，可以在Active Directory中查询服务，例如Exchange，Microsoft SQL，Terminal等。...Sean将每个脚本绑定到一个特定的服务，具体取决于你想要发现的SPN。以下脚本将标识网络上的所有Microsoft SQL实例。...但是，无法使用基于token的身份验证，因此与Active Directory进行通信需要获取有效的域凭证。 .

2.7K0 0

域内横向移动分析及防御

说白了就是使用工具将散列值传递到其他计算机中，进行权限验证，实现对远程计算机的控制在实际测试中，更新KB287l997后无法使用常规的哈希传递方法进行横向移动，但Administrator账号（SID...每种资源分配了不同的SPN 1、SPN扫描因为域环境中的每台服务器都需要在Kerberos身份验证服务中注册SPN，所以攻击者会直接向域控制器发送查询请求，获取其需要的服务的SPN，从而知晓其需要使用的服务资源在哪台机器上...邮件服务器安全防范电子邮件中可能包含大量的源码、企业内部通讯录、明文密码、敏感业务登陆地址及可以从外网访问内网的V**账号密码等信息 Exchange支持PowerShell对其进行本地或远程操作。...Exchange开发了私有的MAPI协议用于收取邮件 Exchange支持的访问接口和协议： OWA（Outlook Web App）：Exchange提供的Web邮箱 EAC（Exchange Administrative...ActiveSync（EAS，XML/HTTP） Exchange Web Service（EWS，SOAP-over-HTTP） Exchange服务发现：基于端口扫描发现（nmap） SPN查询

1.5K1 1

内网协议NTLM之内网大杀器CVE-2019-1040漏洞

Exchange Windows Permissions组可以通过WriteDacl方式访问Active Directory中的Domain对象，该对象允许该组的任何成员修改域权限，从而可以修改当前域ACL...攻击者帐户使用DCSync转储AD域中的所有域用户密码哈希值（包含域管理员的hash，此时已拿下整个域）。...接着执行ntlmrelayx.py脚本，使用--delegate-access选项，--delegate-access选项将中继计算机帐户（这里即辅助域控制器）的访问权限委托给attacker。...接着把administrator的票据导入到本地即可访问到辅助域控制器了，我们可以在目标主机（辅助域控制器）上模拟administrator身份，使用secretsdump转储哈希值。...ntlmrelayx.py脚本通过ldaps将这个用户中继到域控制器中，攻击者冒用user身份在DC上面创建一个新的用户，可以看到ntlmrelayx.py脚本创建了一个LWWAHTYW机器用户，并且对

6.4K3 1

结合CVE-2019-1040漏洞的两种域提权深度利用分析

攻击者帐户使用DCSync转储AD中的所有密码哈希值。 Kerberos委派攻击流程：使用任何AD帐户，通过SMB连接到目标服务器，并触发SpoolService错误。...的SYSTEM账户，这是因为SYSTEM账户具有太高权限，如果用此帐户对网络资源进行身份验证，则会出现安全问题。...所以当访问网络资源时，使用本地计算机的网络帐户对网络进行身份验（形式为domain\computername，即TEST\TOPSEC 10....SMB2 / Session Setup SMB2 / Session Setup命令用于对用户进行身份验证并获取分配的UserID。...第二次身份验证便是使Exchange向attackerhost（192.168.123.69）发起的身份验证，用户为TEST\TOPSEC，（不是SYSTEM的原因是：如果本地服务使用SYSTEM帐户访问网络资源

5.8K2 0

Go语言中的OAuth2认证

通过将身份验证和授权解耦，OAuth2允许用户授予对其资源的访问权限，而无需共享其凭据。这为用户提供了更大的控制权和隐私保护，同时为开发人员提供了简单且安全的身份验证解决方案。...资源服务器（Resource Server）：存储受保护资源的服务器，并根据授权服务器颁发的访问令牌提供对这些资源的访问。...资源服务器（Resource Server）：存储受保护资源的服务器，根据访问令牌提供对资源的访问。授权类型OAuth2定义了不同类型的授权机制，以满足不同场景下的需求。...获取访问令牌并调用API要获取访问令牌并调用API，您可以使用OAuth2客户端库中的Exchange方法交换授权码，然后使用返回的访问令牌进行API调用。...当访问令牌的权限不足以访问所请求的资源时，服务端通常会返回403 Forbidden或401 Unauthorized等错误。

5171 0

Ansible 客户端需求–设置Windows主机

如果有效，则问题可能与WinRM设置无关；请继续阅读以获取更多故障排除建议。 HTTP 401 /凭据被拒绝 HTTP 401错误表示身份验证过程在初始连接期间失败。...超时错误这些通常表示Ansible无法访问主机的网络连接错误。...无法加载内置模块如果powershell失败并显示类似的错误消息，则尝试访问环境变量指定的所有路径可能会出现问题。...当将SSH密钥身份验证与Ansible结合使用时，远程会话将无权访问用户的凭据，并且在尝试访问网络资源时将失败。这也称为双跳或凭据委派问题。...有两种方法可以解决此问题：通过设置使用明文密码身份验证 ansible_password 使用become需要访问远程资源的用户凭据在任务上使用在Windows上为SSH配置Ansible 要将Ansible

10K4 1

从协议入手，剖析OAuth2.0(译 RFC 6749)

1.3 授权许可代表资源所有者授权的一个凭据，可以用获取访问令牌；OAuth2.0 协议定义了4中授权许可类型：授权码模式、隐性模式、资源所有者密码凭证、客户端凭证。...刷新令牌由授权服务器颁发给客户端，如果当前的访问令牌无效或者过期时，获取一个新的访问令牌；或者强制再请求一个访问令牌（可能相同或更窄范围的访问令牌）。...否则，它将创建另一个受保护的资源请求。 (F) 由于访问令牌无效，资源服务器返回一个无效的令牌错误。 (G) 客户端请求一个新的访问令牌，并提交刷新令牌。...如果请求客户端认证失败或者无效，授权服务器将返回错误的响应。 ...如果请求客户端认证失败或者无效，授权服务器将返回错误的响应。

4.8K2 0

实战指南：Go语言中的OAuth2认证

通过将身份验证和授权解耦，OAuth2允许用户授予对其资源的访问权限，而无需共享其凭据。这为用户提供了更大的控制权和隐私保护，同时为开发人员提供了简单且安全的身份验证解决方案。...资源服务器（Resource Server）：存储受保护资源的服务器，并根据授权服务器颁发的访问令牌提供对这些资源的访问。...资源服务器（Resource Server）：存储受保护资源的服务器，根据访问令牌提供对资源的访问。授权类型 OAuth2定义了不同类型的授权机制，以满足不同场景下的需求。...获取访问令牌并调用API 要获取访问令牌并调用API，您可以使用OAuth2客户端库中的Exchange方法交换授权码，然后使用返回的访问令牌进行API调用。...当访问令牌的权限不足以访问所请求的资源时，服务端通常会返回403 Forbidden或401 Unauthorized等错误。

4543 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭