MS Graph Api call drops“该令牌不包含任何权限，或者无法理解权限。” - 腾讯云开发者社区

文章/答案/技术大牛

发布

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

当用户在官网输入该代码并授权，就等于亲手把权限交给了这个恶意应用。”...，也不触发异常登录警报。...要理解这场危机，必须回到 OAuth 2.0 协议本身。OAuth 是现代互联网身份授权的事实标准。..."❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近10封邮件...必须教育员工：任何要求你访问 aka.ms/devicelogin 的请求都需先联系 IT 确认；授权前务必点击“查看此应用将访问哪些数据”；若未主动发起设备登录，绝不要输入任何代码。

3381 0

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

访问行为概述你的所有访问请求都必须包括如下三个操作：访问行为：POST，GET，DELETE 包含 Graph AP version ，节点，字段，边等的路径具有所需权限的访问令牌从 Facebook...中读取数据首先是查询当你打开 Graph API Explorer 时，它将自动加载最新版本的 Graph API 和默认的 GET 请求，如：GET / me？...或者，由于你的访问令牌中不包含访问此数据所需的权限而导致的访问权限问题，也有可能会发生这种情况。幸运的是，资源管理器能够帮助你。...在这个例子中，我们使用的是 Graph API Explorer 。使用具有 user_posts 权限的用户访问令牌并创建获取请求，从而找到要删除的帖子。...发布页面信息如果要帖子发布到页面上，你需要具有 publish_actions 权限，或者 manage_pages 和 publish_pages 并作为具有管理权限的管理员页面访问令牌。

5.3K5 0

您找到你想要的搜索结果了吗？

是的

没有找到

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

ConsentFix正是这一趋势的产物：整个攻击过程完全发生在浏览器内，不触发任何本地执行行为，从而规避EDR、AV等基于主机的检测机制。...这种转变标志着钓鱼攻击从“凭证窃取”向“权限授予”的范式迁移。攻击目标不再是静态密码，而是动态的、具有时效性的授权令牌；攻击载体不再是可执行文件，而是合法云服务的API接口。...；无端点行为：全程在浏览器内完成，不触发EDR规则；权限滥用而非越权：所用权限均为用户主动授予，不违反最小权限原则的技术定义；第一方应用伪装：部分变种注册为“Azure CLI”等微软官方工具的仿冒应用...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1931 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...注册过程无需特殊权限，任何拥有个人Microsoft账户的用户均可完成。...注册后，攻击者配置所需API权限。...OAuth同意页面虽列出权限，但普通用户难以理解“Mail.Read”意味着“可读取所有邮件”。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2751 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...例如：阻止从非托管设备或异常地理位置发起的设备代码授权；要求所有OAuth令牌请求必须来自合规设备；对包含敏感权限（如Mail.ReadWrite）的令牌请求强制二次审批。

2581 0

Windows 权限提升

MS16-032(KB3143141) 如何理解微软的漏洞编号和补丁编号，微软每发布一个安全公告，就会为这个安全公告给出一个唯一的编号，格式通常为MS*-*\,比如这里的MS16-032，MS代表Microsoft...在访问资源时，会将进程的访问令牌和资源的访问控制列表进行比较，已确认该进程是否具有访问该资源的权限，完整性级别低的进程无法写入完整性级别高的资源对象。 ?...管理员登录后，将为用户创建两个单独的访问令牌：标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含与管理员访问令牌相同的特定于用户的信息，但是已删除管理Windows特权和SID。...标准用户访问令牌用于启动不执行管理任务的应用程序（标准用户应用程序）。然后，使用标准的用户访问令牌来显示桌面（Explorer.exe）。...注意：这几个条件是 and 的关系，任何一个条件不满足，都无法自动提升权限 Bypass UAC 笔者花了很多事件试图理解Windows从用户的登录过程中的UAC，到管理用户被降权，到为何程序能够触发UAC

4.7K2 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...该参数指示授权服务器在用户已登录且先前已授予权限的情况下，不显示任何UI直接返回令牌。...返回的JSON响应包含access_token与refresh_token。前者有效期通常为1小时，后者可达90天（取决于租户策略）。攻击者利用刷新令牌可无限续期访问令牌，实现长期潜伏。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...“用户无法注册应用”策略，并要求所有新应用经IT部门审批。

2931 0

Facebook Graph API(1)—介绍

Facebook提供三种low-level HTTP APIS去访问Facebook Graph. 1.Graph API 2.FQL(过期) 3.Legacy REST API(过期) 为什么要学习Graph...API 1.Open Graph可以让广大用户发现你的应用或者业务 2.可以加入更多社交内容，你的朋友可能会对你的内容感兴趣 3.使用Facebook Login统一登录，可以减少投入，并且可以跨不同设备...示例：你可以在左边选择请求的类型(GET,POST or DELETE)，以及任何需要修改的数据。 ?...Login, Authorization and Permissions 登录，授权和权限使用Graph API访问数据需要先理解的几个专业术语。...Access Token: 访问令牌是在授权过程中一个特殊的字符才能，它表示一组已授予的权限，并且可以用在一个特定的应用程序或者一个特定人上。

2.8K8 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...4.2 条件访问：基于权限范围的策略拦截创建条件访问策略，阻止包含高危权限的应用获取令牌：策略逻辑：触发条件：应用请求包含Mail.ReadWrite、User.ReadWrite.All等；操作：阻止登录...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...4.6 Graph API 异常行为监控部署KQL查询，检测异常API调用模式：// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application

2501 0

权限维持方法小结

当用户双击对应的程序后，操作系统就会给外壳程序（例如"explorer.exe"）发布相应的指令，其中包含有执行程序的路径和文件名，然后由外壳程序来执行该程序。...事实上在该过程中，Windows还会在注册表的上述路径中查询所有的映像劫持子键，如果存在和该程序名称完全相同的子键，就查询对应子健中包含的"dubugger"键值名，并用其指定的程序路径来代替原始的程序...Defense: http://drops.xmd5.com/static/drops/tips-8290.html 特性不在Client和Server留下任何文件，实际位于硬盘上的一个复杂的数据库中...这就是为什么在watchdogs挖矿木马中使用top、ps等命令无法发现挖矿进程的原因，这种后门推荐使用静态编译的ls、ps等命令或者busybox进行查找。...执行者对于该程序需要具有x的可执行权限 -本权限仅在执行该程序的过程中有效在执行过程中执行者将具有该程序拥有者的权限可以利用webshell进行利用 #vim suid.c #include<stdlib.h

4.2K1 0

从0开始构建一个Oauth2Server服务授权范围 Scope

用户需要能够理解他们授予应用程序的访问级别，这将以某种列表的形式呈现给用户。当呈现给用户时，他们需要真正了解正在发生的事情，而不是被信息淹没。...登录到使用 API 的完全不同部分的应用程序的用户希望确保此应用程序无法使用人口统计 API，因为这会导致该用户产生费用。在这种情况下，服务应该定义一个特殊的范围，比如“人口统计”。...人口统计 API 应仅响应来自包含此范围的令牌的 API 请求。在此示例中，人口统计 API 可以使用令牌自省端点来查找对此令牌有效的范围列表。...如果响应在范围列表中不包含“人口统计”，端点将拒绝使用 HTTP 403 响应的请求。用户界面用户在授权应用程序时看到的界面需要清楚地显示应用程序正在请求的范围列表。...许多人甚至不知道该应用程序正在执行此操作，或者他们已授予该应用程序发布到他们帐户的权限。这导致该应用程序走红，因为使用该应用程序的任何人的关注者都会在他们的时间轴中看到它。

1.1K3 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

该链接表面指向一个常规文档，实则加载伪装成Microsoft 365登录界面的钓鱼页面，并在用户输入凭证后实时中继多因素认证（MFA）请求，实现凭证与会话令牌的双重窃取。...Tool”的应用，申请Mail.ReadWrite、Files.Read.All、User.Read等高权限范围，并诱导用户授权（或利用已窃取的管理员令牌静默授权）。...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...此后，即使原始凭证被重置，攻击者仍可通过OAuth令牌维持API级访问，实现长期潜伏。...其次，MFA虽能防止密码复用攻击，但无法抵御AiTM式的实时中继。再者，OAuth授权管理普遍薄弱，高管账户往往拥有广泛权限，而IT部门缺乏对第三方应用授权的主动审计机制。

2351 0

Permission elevation

前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。...sc stop Apache2.4 sc start Apache2.4 未引用服务路径当服务启动所执行的二进制文件的路径包含空格但是未有效包含在引号中，就会导致该漏洞。...以当前用户运行的进程，都会有该访问令牌的一个副本。我们可以通过whoami /all查看信息： whoami /all 还有些未截图。...基础知识当用户登录到计算机时，系统会为该用户创建访问令牌。访问令牌包含有关授予用户的访问权限级别的信息，包括特定安全标识符 (SID) 和 Windows 权限。我们先来看看不同用户的登录过程。...我们可以从administrator提升至system，如下所示，令牌已经全部开启。 wmic process call create "cmd.exe" 精彩推荐

1.5K4 0

常见的远程执行命令方式整理

ADMIN$ 共享建立 ipc 连接后可以不指定用户名和密码不能仅拷贝文件不执行，只需要拷贝时可以建立 ipc 连接后c opy 在启动psExec建立连接之后，远程系统上会被安装一个服务：PSEXESVC...安装服务会留下日志，而且psexec退出时有可能服务删除失败，所以不推荐使用 psexec。...@#123QWE process call create "cmd.exe /c net user test1 !...防火墙开启将无法连接如果报错 "Invalid Global Switch" ，用双引号把包含-的结点括起来即可正常执行。...如果执行的命令比较复杂，比如命令中包含双引号，可以将命令写成 bat 脚本拷贝到远程系统上，然后远程执行 bat 脚本。

7.7K1 0

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

该活动并未利用任何未公开的0-day漏洞，而是巧妙地利用了SharePoint的文件共享与通知机制。...情境化内容：邮件内容通常包含具体的文件名、共享者姓名以及“您已被授予访问权限”等标准话术，符合正常的业务逻辑，难以引起用户的警觉。...令牌异常分析：检测User-Agent字符串的突变、IP地址与地理位置的不匹配、以及短时间内大量文件访问行为。...", "supplier-b.net", "client-c.org"}def get_access_token(self) -> str:"""获取Microsoft Graph API访问令牌"""...}/auditLogs/directoryAudits" # 简化示例，实际应使用unifiedAuditLogs# 注：Graph API中统一审计日志的端点可能需要特定权限和不同的查询方式# 此处仅为逻辑演示

1201 0

听GPT 讲K8s源代码--plugin

`apis`: 该目录用于定义插件的自定义 API 资源类型。...插件可以使用准入控制来验证、修正或拒绝 API 请求。 5. `scheduler`: 该目录包含了插件的调度器相关代码。调度器是负责决定将容器化工作负载分配到哪个节点上的组件。...Graph结构体表示整个图形，包含了与节点和边相关的信息。它包括了多个索引和映射，用于快速查找和操作节点和边。...has函数用于判断给定的令牌标识是否存在于集合中。它会检查items字段中是否存在该令牌标识的条目，并返回相应的布尔值。...通过访问该API endpoint，可以获取当前节点上的权限认证持续时间的度量指标信息。总的来说，该文件为节点权限认证操作提供了度量指标，可帮助系统管理员监控和分析节点的权限认证性能。

7793 0

Protected Process Light (PPL) Attack

创建在域级别链接或链接到包含您的计算机帐户的组织单位的新 GPO。或者，您可以选择已部署的 GPO。右键单击 GPO，然后单击编辑以打开组策略管理编辑器。...可以定义、重新定义或删除 MS-DOS 设备名称。...这是因为非PPL进程 taskkill.exe无法使用诸如 OpenProcess之类的 API 获取具有对PPLPROCESS_TERMINATE进程的访问权限的句柄。...同样在TrustedInstaller权限中也无法进行修改等等操作。...该子系统会自动尝试加载它，但是它不存在于任何公共 Windows 版本中。

2.8K2 0

基于云原生信任机制的钓鱼攻击机理与防御体系研究

在Google Workspace环境中，任何拥有有效Google账户的用户（包括攻击者注册的免费账户或被盗账户），只要与目标用户在同一个组织域内（针对内部攻击），或者通过共享日历/文档建立了某种协作关系...一旦授权成功，该应用即获得了tasks scope的权限，可以编程方式调用Google Tasks API，向受害者发送任意内容的任务通知。...管理员无法及时感知哪些用户授权了高风险应用，也无法自动撤销异常权限，导致攻击者在获得令牌后能长期潜伏。...4.2 零信任架构下的条件访问与设备管控在身份与访问管理（IAM）层面，必须贯彻零信任原则，不默认信任任何请求，无论其来源如何。实施严格的条件访问策略（Conditional Access）。...当用户尝试授权高风险应用时，系统应展示醒目的警告信息，明确列出该应用将获取的具体权限及潜在风险，避免用户在不理解后果的情况下点击“允许”。

1601 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

通过User的用户名和密码向认证中心申请访问令牌。　　按照惯例，在postman中直接进行调用order的接口。 ResponseCode:401,提示没有权限。...此处应该有掌声，成功的通过验证，并且获取到 api资源，但是这种模式是最不推荐的，因为client可能存了用户密码，此模式仅用于受信任的客户端。复制会发生密码泄露。所以不推荐使用。...参数必传这时候，就又有人问了，为什么这里的 scope 参数的值和上面不一样，确实，我也有这个疑问，后来找到微软官方给我的文档解释道： Microsoft Graph 示例中，该值为 https...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

3K1 0

我所了解的内网渗透 - 内网渗透知识大总结

域服务器一般都会共享这个文件夹，或者搜索当前机器下的XML文件将包含凭据：groups.xml，scheduledtasks.xml，services.xml中，datasources.xml。...设置每个人访问权限不在组策略中使用域控密码设置共享文件夹SYSVOL的访问权限删除现有的GPP里包含密码的XML文件。...黄金票据是伪造TGT，可以获取任何Kerberos的服务权限，与域控制器没有AS-REQ或AS-REP（步骤1和2）通信。...获取对Active Directory数据库文件的访问权限（ntds.dit） Active Directory数据库（ntds.dit）包含有关Active Directory域中所有对对象的所有信息...SYSVOL是所有经过身份验证的用户具有读取权限的Active Directory中的域范围共享。SYSVOL包含登录脚本，组策略数据以及其他域控制器中需要使用的全域数据。

5.1K5 0

点击加载更多

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

Windows 权限提升

高级OAuth钓鱼攻击的演化机制与防御体系构建

Facebook Graph API(1)—介绍

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

权限维持方法小结

从0开始构建一个Oauth2Server服务授权范围 Scope

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

Permission elevation

常见的远程执行命令方式整理

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

听GPT 讲K8s源代码--plugin

Protected Process Light (PPL) Attack

基于云原生信任机制的钓鱼攻击机理与防御体系研究

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

我所了解的内网渗透 - 内网渗透知识大总结

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐