文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

通过 Beacon 获取 Microsoft Entra 刷新令牌

本文将探讨在此类受限环境下,如何通过替代方法获取刷新令牌,以确保在信标失效时仍能维持对被攻陷身份的访问。...背景知识 主刷新令牌 (PRT) 是 Azure Active Directory (现称为 Entra) 中用于身份验证的关键组件。...使用捕获的授权码向 Entra 服务请求访问令牌和刷新令牌。 将获取的令牌展示给操作员。...刷新令牌的有效期取决于 Entra 租户的配置,通常较长,但仍需定期轮换以维持访问。...它本质上允许这些应用程序无需托管 Web 服务器或使用自定义 URI 方案即可从 Entra 接收授权码——浏览器只需使用“code”参数重定向到此 URI,应用程序即可捕获该 URI 并交换访问令牌和刷新令牌

57410

基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

一旦用户完成授权,攻击者即获得长期有效的刷新令牌(Refresh Token),可在数月内持续访问敏感数据,且难以被常规安全监控发现。...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...攻击者服务器立即用该码向/token端点请求访问令牌与刷新令牌:POST https://login.microsoftonline.com/common/oauth2/v2.0/tokenContent-Type...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4.3 刷新令牌生命周期过长在未启用条件访问(Conditional Access)的情况下,刷新令牌有效期可达90天。即使用户更改密码,旧令牌仍有效,导致凭证轮换失效。

24310
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...一旦同意,攻击者即获得授权码,兑换为访问令牌(access token)与长期有效的刷新令牌,从而无需再次触发MFA即可持续访问用户邮箱与文件。...login.microsoftonline.com/common/oauth2/v2.0/authorize;微软显示标准同意页面,列出请求的权限范围(scopes);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌...;应用使用令牌调用Microsoft Graph API。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

    23710

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    你有没有收到过这样的邮件?“您的 Microsoft 账户需要立即完成安全验证。请访问 https://aka.ms/devicelogin,输入以下代码:**ABCD-EFGH**。”...一旦用户输入代码并点击“下一步”,系统会要求其使用 Microsoft 365 账户登录——此时 MFA 可能被触发,用户收到短信或 Authenticator 推送通知,并完成验证。...授权完成后,攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌(Refresh Token),从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近

    27810

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    token)或刷新令牌(refresh token)泄露给攻击者控制的应用。...攻击者随即用该授权码向/token端点交换访问令牌与刷新令牌:POST https://login.microsoftonline.com/common/oauth2/v2.0/tokenContent-Type...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    18710

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    在此过程中,攻击者不仅捕获用户名与密码,更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌(Refresh Token),从而实现无需凭证重放的持久化账户访问。...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。.../.default返回的Access Token可立即用于读取邮件:GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization...刷新令牌生命周期过长:默认情况下,Microsoft Entra ID的刷新令牌有效期可达90天,且在用户未主动登出前持续有效。这为攻击者提供了长期潜伏窗口。...Microsoft Graph提供/revokeSignInSessions API,可编程终止可疑会话:import requestsdef revoke_suspicious_sessions(user_id

    23710

    基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

    例如,一封标题为“您有1个未读的共享文档”的邮件,其发件人显示为“Microsoft SharePoint no-reply@microsoft.com”,内容包含一个“立即查看”按钮。...用户点击后跳转至看似官方的登录页(URL为https://microsoft-office[.]com/login),输入账号密码后收到Authenticator推送,出于习惯点击“批准”。...然而,后台实则由攻击者控制的反向代理实时转发请求至真实login.microsoftonline.com,完成认证后截获会话Cookie与刷新令牌。此类攻击的成功率远高于传统钓鱼。...2.3 MFA推送诱导与OAuth持久化为绕过多因素认证,攻击者在用户首次登录后,立即触发“验证应用需要刷新”提示,诱导用户再次批准Authenticator推送。...获得有效会话后,攻击者通过Graph API注册恶意OAuth应用:POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application

    22810

    警惕“授权即沦陷”!Barracuda预警:高级OAuth钓鱼正悄然接管你的企业账号

    你有没有在登录某个小工具或第三方应用时,看到过这样的提示:“此应用想要访问你的Microsoft 365邮箱、日历和文件”?...Tycoon和EvilProxy两大PhaaS套件被频繁使用:Tycoon:能模拟完整的2FA流程,将用户重定向至高仿微软登录页,捕获临时授权码(Authorization Code),再在后台兑换为长期有效的刷新令牌...,攻击者可长期潜伏,甚至设置邮件转发规则,悄无声息地窃取情报;即使用户更改密码,只要未撤销授权,攻击者仍能通过刷新令牌继续访问。...同时,定期审查已授权应用列表(路径:Microsoft 365门户 > 账户 > 应用权限),删除不再使用或可疑的“影子应用”。3....即使令牌被盗,也无法在陌生设备上使用。5. 定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心,监控异常令牌活动(如非工作时间、非常用地点),并批量撤销高风险会话。

    30810

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    一、一封“学术合作”邮件背后的云端渗透2025年10月,某欧洲知名智库的研究员安娜(化名)收到一封来自“美国国务院政策研究办公室”的邮件。...然而,就在那一刻,她的Microsoft 365账户已被悄然接管。攻击者并未窃取她的密码,也未触发任何多因素认证(MFA)警报。...# 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。(4)员工意识培训需升级传统“别点可疑链接”已不够。

    16210

    网络钓鱼对金融行业安全的威胁机制与防御体系构建

    当前主流金融系统普遍部署多因素认证(MFA),但攻击者已发展出多种绕过手段:OAuth令牌窃取:通过诱导用户授权恶意第三方应用(如“账单同步助手”),获取对Microsoft 365或Google Workspace...一旦获得刷新令牌(Refresh Token),攻击者可在用户无感知状态下长期访问,且不受密码变更影响。...例如,攻击者在捕获OAuth授权码后,通过合法Token Endpoint兑换访问令牌(Access Token)与刷新令牌。后者有效期可达90天以上,且可在后台持续刷新,形成持久化访问通道。...定期审计与自动清理:利用Microsoft Graph API或Google Admin SDK定期扫描已授权应用,自动吊销60天未使用的令牌,并标记异常权限组合(如同时请求邮箱与云存储访问)。...短时效操作令牌:对敏感操作(如API密钥重置)生成一次性、5分钟内有效的操作令牌,通过企业IM或硬件令牌分发,避免长期凭证暴露。

    17210

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    公共互联网反网络钓鱼工作组技术专家芦笛指出,“而Microsoft 365因其广泛使用和强大API能力,成了攻击者的首选目标。”...它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...Mail.ReadWrite”“User.Read.All”等高危权限的第三方应用;监控登录地理与设备指纹突变:比如同一账号在1小时内从北京跳到莫斯科登录;一键响应:自动撤销恶意应用授权、终止可疑会话、刷新访问令牌...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。

    15810

    设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

    研究揭示,此类攻击通过滥用OAuth 2.0设备授权流程,在用户主动授权的掩护下获取长期有效的刷新令牌,从而规避传统基于密码泄露或会话劫持的检测机制。.../devicelogin),输入user_code;授权服务器验证用户身份(通常包括MFA)后,将授权授予客户端;客户端通过轮询使用device_code换取访问令牌(access_token)和刷新令牌...权限:勾选Microsoft Graph的Delegated权限,如:Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...,攻击者可调用Microsoft Graph API读取邮件:import requestswith open('stolen_token.json') as f:token = json.load(f...)headers = {'Authorization': f'Bearer {token["access_token"]}'}mails = requests.get('https://graph.microsoft.com

    20410

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...典型路径如下:钓鱼获取员工凭证(含MFA绕过,如MFA疲劳攻击);登录云控制台(如Azure AD、AWS IAM);枚举高权限账户或服务主体;申请或窃取OAuth令牌/会话Cookie;通过Graph...login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/token"data = {'client_id': CLIENT_ID,'scope': 'https://graph.microsoft.com...access_token']def list_consent_grants(token):headers = {'Authorization': f'Bearer {token}'}url = "https://graph.microsoft.com...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    24210

    云邮箱钓鱼攻击趋势与企业防御体系重构

    典型流程如下:用户在钓鱼页面输入凭据;攻击脚本实时将凭据转发至真实登录接口,完成身份验证;获取有效的会话Cookie或OAuth 2.0访问令牌;直接注入浏览器或API调用,绕过MFA校验。...真正的问题在于:身份验证过程未与设备状态、行为上下文深度耦合。...关键措施包括:自动化会话吊销:通过API批量注销用户所有活动会话;凭据紧急重置:强制更改密码并撤销刷新令牌;行为回溯:利用审计日志定位首次异常活动时间点。...Microsoft Graph API吊销会话示例:import requestsdef revoke_user_sessions(user_id, access_token):url = f"https...://graph.microsoft.com/v1.0/users/{user_id}/revokeSignInSessions"headers = {"Authorization": f"Bearer

    21910

    开放授权之道:OAuth 2.0的魅力与奥秘

    客户端在重定向 URI 中收到授权码,然后使用该授权码与授权服务器进行身份验证,并获取访问令牌。...刷新令牌(Refresh Token): 刷新令牌用于获取新的访问令牌,通常在访问令牌过期时使用。刷新令牌有更长的生命周期。 生成令牌: 访问令牌可以通过授权码授权、隐式授权等方式生成。...令牌的安全存储是至关重要的。 过期令牌的处理: 及时地使用刷新令牌获取新的访问令牌,确保及时更新令牌,减少令牌的有效期。...令牌刷新的实现: 使用刷新令牌机制,确保即使访问令牌过期,客户端也能够安全地获取新的令牌。 监控和日志: 实施监控和日志记录来检测潜在的攻击,并及时响应安全事件。...云服务集成: 企业可以使用OAuth 2.0来整合各种云服务,例如使用Google Drive API或Microsoft Graph API,以实现对云存储和办公应用的访问。

    85811

    伪装成“熟人”的邮件,藏着国家级黑客的陷阱——Callisto组织鱼叉式钓鱼新动向敲响全球媒体安全警钟

    近日,法国巴黎,“无国界记者”(Reporters Without Borders, RSF)的一位核心成员收到了一封看似再平常不过的邮件。...,立即发送伪造的OneDrive共享链接,指向一个克隆的Microsoft 365登录页;持久化阶段:获取凭证后,利用合法会话令牌(Session Token)绕过多因素认证(MFA),长期潜伏。...以Microsoft 365为例,用户登录后,服务器会颁发一个短期有效的访问令牌(Access Token)和一个长期刷新令牌(Refresh Token)。...等关键令牌;使用这些令牌通过Graph API直接操作用户数据。...-0ff1-ce00-000000000000&refresh_token=&grant_type=refresh_token&scope=https://graph.microsoft.com

    24810
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券