是否可以使用microsoft graph api通过委派权限克隆团队(非源团队的成员)？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

VoidProxy平台对多因素认证的绕过机制与防御对策研究

更严重的是，若攻击者获取IdP管理员权限，可直接修改条件访问策略或注册恶意应用，造成全租户级风险。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...Microsoft Entra ID已支持此功能，可通过条件访问策略强制：# Azure AD PowerShell: 要求FIDO2且禁止非托管设备New-AzureADMSConditionalAccessPolicy...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。即使攻击者窃取Access Token，也无法在其他连接中使用。

2131 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0...；即使绕过（如使用管理员账户），邮件也被标记，用户识别率提升 78%。此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。

1190 0

您找到你想要的搜索结果了吗？

是的

没有找到

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

Microsoft Teams作为全球超3亿用户使用的协作平台，其通知邮件由微软官方域名 teams.mail.microsoft.com 发出，具备完整的SPF、DKIM、DMARC认证。...攻击者通常经过专业话术培训，能流利使用英语、中文甚至本地口音，冒充：微软/Google官方支持；银行反欺诈部门；云服务商安全团队；内部IT运维人员。...攻击者甚至会使用数字签名版本（通过盗用或购买开发者证书），进一步规避检测。...邮件层：增强Teams通知监控限制Teams外部邀请：在Microsoft 365管理中心配置策略，禁止非组织成员创建团队或邀请用户；监控异常团队命名：通过Microsoft Graph API定期扫描团队名称...，识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体；# 示例：通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

1231 0

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

摘要近年来，针对Microsoft 365（原Office 365）生态系统的网络钓鱼攻击呈现高发态势，传统依赖邮件网关与服务器端策略的防护手段已难以应对通过短信、社交媒体、语音通话等非邮件渠道传播的恶意链接...一旦授权，攻击者即可通过合法API令牌访问用户邮箱、日历等资源，规避传统邮件监控。这两种攻击均可通过非邮件渠道发起，使得基于邮件内容的过滤器形同虚设。...无法防御高度定制化钓鱼页：若攻击者使用全新域名且页面不含关键词，仅靠内容特征可能不足。无Graph API集成：当前版本不自动撤销会话或令牌，需管理员手动响应。...7 未来工作方向CyberDrain团队已规划以下增强功能：OAuth授权页面监控：检测异常权限请求，阻止过度授权。...与Microsoft Graph API联动：在检测到钓鱼后，自动调用/revokeSignInSessions终结用户所有活动会话。

1961 0

项目管理：推荐五款好用的项目管理工具

3、Mantis BT 项目缺陷管理系统 MantisBT 是一个基于PHP语言的开源的Bug跟踪管理软件，安装部署只需要几分钟便可启动使用，然后就可以开始和他们的团队成员和客户协作，管理他们的项目。...功能介绍：邮件通知功能可以自己定制支持多项目、多语言权限设置灵活(每个项目或缺陷可设为公开或私有状态，缺陷可以在不同项目间移动) 缺陷关联功能(缺陷可以关联到其他相关缺陷) 流程定制方便 4、禅道项目管理软件...禅道使用自主开发的 zentaophp 框架开发，内置了完整的扩展机制 (非简单的钩子)，用户可以非常方便的对禅道进行彻底的二次开发。...功能：支持看板等敏捷管理方法，让工作内容进度把控非常清晰可以使用甘特图进行合理的项目规划，及时提醒避免项目延期集成电子邮箱等上百种种办公应用; 查看团队成员的任务和优先级支持建立任务的依赖关系;...支持设立个人工作管理区，将个人和团队的项目做出区分 ASANA 可以轻松地与 Google Drive、Github、Dropbox 等其他数据源集成大数据优秀博客推荐 IT技术分享社区 CSDN：

4.4K4 0

域渗透技巧

在域中，可以通过PowerView脚本来搜索开启了委派的主机和用户，查询非约束委派主要是通过搜索userAccountControl属性包含ADS_UF_TRUSTED_FOR_DELEGATION的主机或账户...1.非约束委派通过Import-Module PowerView.ps1加载PowerView脚本之后使用下面的命令进行查询。...查询域中配置非约束委派的账户： Get-NetUser -Unconstrained -Domain yunying.lab 查询域中配置非约束委派的主机： Get-NetComputer -Unconstrained...攻击方法： 1.非约束委派攻击方法：假设我们已经获取了一个已经配置了委派的账户权限或者是密码，如果域控访问了我们控制的主机服务我们直接通过mimikatz导出TGT内容（需要管理员权限） privilege...kerberos::tickets 查看所有的票据 Print Spooler服务+非约束委派提升至域控权限如果域控运行这打印机服务，那么我们可以直接将MS-RPRN请求RpcRemoteFindFirstPrinterChangeNotification

1.5K2 1

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...：# 列出所有具有Mail.Read权限的非微软应用Get-AzureADUser | ForEach-Object {Get-AzureADOAuth2PermissionGrant -ObjectId...（如常用登录地点、邮件收发时段、协作平台使用频率），检测异常：若某议员账户在凌晨3点从境外IP访问并创建邮件转发规则，触发告警；若短时间内向大量非联系人发送含附件邮件，疑似被控为跳板。...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。...通过将最小权限原则、上下文验证机制与自动化响应能力嵌入政治工作流，可在保障民主效率的同时，显著提升网络韧性。

1671 0

MAAD-AF：一款针对M365和Azure AD的安全测试工具

通过其几乎无需设置和易于使用的交互式攻击模块，安全团队可以轻松快速地测试其安全控制、检测和响应能力。...） 2、Azure AD内部网络侦查（包括子模块） 3、后门帐户设置 4、受信任的网络修改 5、禁用邮箱审核 6、禁用反网络钓鱼 7、邮箱删除规则设置 8、通过邮箱转发实现数据提取 9、获得用户邮箱访问权限...PnP.PowerShell Microsoft.Graph.Identity.SignIns 工具限制当前版本的MAAD-AF仅支持Windows操作系统。...工具下载广大研究人员可以使用下列命令将该项目源码克隆至本地： git clone https://github.com/vectra-ai-research/MAAD-AF.git （向右滑动，查看更多...首先，我们需要以管理员权限运行PowerShell，然后切换到本地的MAAD-AF目录中： cd /MAAD-AF 然后使用下列命令运行MAAD_Attack.ps1脚本即可： .

7011 0

Agent设计模式——附录 G - 编码 Agent

最高效的开发团队不仅将任务委托给 Agent，更通过整套复杂编码 Agent 实现自我增强。这些 Agent 扮演着不知疲倦的专业团队成员角色，放大人类创造力并显著提升团队扩展能力与开发速度。...专业化 Agent 团队：通过定向提示工程，我们可构建专业分工的 Agent 团队，每个成员针对特定开发任务深度优化。...前沿模型访问权限配置获取至少两个领先大语言模型（如 Gemini 2.5 Pro 与 Claude 4 Opus）的 API 访问密钥。...通过为每项任务提供清晰无歧义、内容完备的上下文掌握简报艺术。应将提示词视为面向高能力新团队成员的完整任务简报包，而非简单指令。担当终极质量关口 Agent 产出始终属于建议方案，绝非强制命令。...通过将战术执行委派予 Agent，开发者得以将认知资源聚焦于真正核心领域：战略创新、韧性架构设计，以及打造用户惊喜产品所需的创造性问题破解。

2661 0

基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

尤其值得注意的是，攻击者引入了“收件人特定验证”机制，仅当输入目标用户的精确邮箱地址后，才触发后续恶意跳转，极大削弱了安全团队使用蜜罐账户或通用测试账号进行主动探测的有效性。...更关键的是，SharePoint支持动态生成临时共享链接，且可通过Microsoft Graph API进行程序化管理。...此举有效阻止安全研究人员使用非目标邮箱进行探测。3.3 伪造MFA交互用户提交邮箱后，被重定向至mfa.html，页面模拟微软标准的“发送验证码”流程：通过Microsoft Graph API审计可疑共享项：import requestsimport jsondef detect_suspicious_sharing...五、防御体系构建5.1 权限最小化原则禁用非必要用户的“外部共享”权限对文档库设置“仅组织内成员可访问”审计并清理长期有效的匿名共享链接5.2 条件访问策略强化在Azure AD中配置策略：禁止从非托管设备访问

1941 0

GitHub详解：代码托管与协作开发平台

克隆仓库：用户可以使用Git命令git clone 将远程仓库克隆到本地。...发起Pull Request后，团队成员可以对代码进行审查，提出意见和建议。审查通过后，Pull Request可以被合并到主分支。...创建Issue后，团队成员可以通过评论进行讨论，更新任务状态。当任务完成时，可以关闭Issue。...4.4 安全与权限管理设置分支保护：对主分支和重要分支设置保护规则，避免未审查代码直接合并。最小权限原则：只为团队成员分配必要的权限，避免权限滥用。...使用GraphQL API：通过GraphQL查询语言访问GitHub API，进行更灵活的数据查询。

2.1K2 0

上线 5 天狂揽 8.4K Star，Firecrawl 的 Open Lovable 火了，一键克隆任何网站。

开发者可以申请免费的 E2B API 密钥，将代码提交至沙盒中编译和测试。...Firecrawl 网页抓取：Firecrawl 是 Mendable 团队开发的强大爬虫 API，能高效地抓取网页并返回结构化内容（HTML、文本、图像等），同时自动处理常见的 JavaScript...开源版与闭源Lovable的差异是的，开源版这玩意儿主要是前端生成，闭源的可全栈。它所使用的Firecrawl 最终生成的克隆效果以前也是有演示过的，效果不错： Cursor + MCP：效率狂飙！...开发者或设计师只需准备好模型的 API 密钥，即可使用 ScreenCoder 快速将界面设计图转成可运行的网页代码。...了解一下，闭源Lovable的用户增长策略开源社区的建立为 Lovable 提供了“免费 R&D 和营销”，在产品正式发布前，已有大量用户和社区成员对产品产生兴趣和信任。

8081 0

如何使用S4UTomato通过Kerberos将服务账号提权为LocalSystem

关于S4UTomato S4UTomato是一款功能强大的权限提升工具，该工具专为蓝队研究人员设计，可以通过Kerberos将服务账号（Service Account）权限提升为LocalSystem...工具运行机制熟悉“Potato”系列权限提升工具的研究人员肯定知道，这类工具可以将服务账号提升为本地系统权限，“Potato”所使用的技术和S4UTomato类似，即利用COM接口的特定功能，欺骗NT...接下来，通过一系列API调用，并在身份认证过程中执行中间人攻击（NTLM中继），以生成针对目标本地系统中NT AUTHORITY\SYSTEM账号的访问令牌。...在计算机加入域的任意情况下，只要我们能够在Windows服务帐户或Microsoft虚拟帐户的上下文下运行代码，就可以利用上述技术进行本地权限提升。...接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地： git clone https://github.com/wh0amitz/S4UTomato.git 然后在Visual Studio

4901 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

该团伙通过仿冒“贝尔格莱德安全会议”（BSC）与“布鲁塞尔印太对话”（BIPD）等高信誉活动，搭建高度仿真的注册网站，诱导目标使用Microsoft或Google账户进行OAuth授权登录。...Graph API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:...；在授权前检查OAuth请求中的client_id是否属于可信实体（可通过公开数据库查询）。...此应用未获公司批准，授权可能导致账户泄露");}}},{ urls: ["https://accounts.google.com/o/oauth2/auth*"] });3.4 威胁情报集成与域名监控安全团队应订阅高质量威胁情报源...该流程因无需用户在钓鱼页面输入任何信息，传统基于表单提交的检测完全失效。未来，云服务商应考虑在设备码授权时增加二次确认（如短信验证码），或限制非交互式流程的权限范围。此外，会议主办方亦负有安全责任。

2161 0

微软开源Magentic-One：用于解决复杂任务的通才多代理系统

Magentic-One 的代理架构 Orchestrator 可以将任务分别委派给 FileSurfer 代理来读取和处理文件，将 WebSurfer 代理委派给 WebSurfer 代理来操作 Web...WebSurfer能够执行网页导航、操作和阅读任务，通过直接使用文档Q&A技术，减少了与Orchestrator的通信次数，提高了任务效率。...WebSurfer在与网页元素交互时，使用标记集提示和带注释的屏幕截图来确定操作的具体位置，实现了多模式操作。...在内部循环的每次迭代期间，Orchestrator 会回答 5 个问题以创建进度账本：请求是否完全满足（即任务完成）？报告前一个元素的问题团队是循环还是重复？报告前一个元素的问题是否取得了进展？...报告前一个元素的问题接下来应该由哪个座席发言？报告前一个元素的问题应该向该团队成员提出什么指示或问题？

5981 0

利用资源约束委派进行的提权攻击分析

通过S4U2Self获得的服务票据被标志为可转发时，该票据可以在接下来的S4U2Proxy中被使用，而不可转发的TGS是无法通过S4U2Proxy转发到其他服务进行传统的约束委派认证的。...3配置委派每个资源都可以通过LDAP为自己配置基于资源的约束委派，如果我们能拿到计算机账号的密码或TGT，或直接拿到本地管理员账户，便能使用Powershell直接为该计算机（服务）账号配置基于资源的约束委派...思考我们现在已经可以通过S4U攻击获取访问ServiceB任意服务的域管理员身份的服务票据，能否通过这些服务票据进一步获得权限或者以域管理员身份执行命令呢？...以上的实验是当我们已经拥有两台域内计算机的普通用户权限，且管理员已经开启了Powershell远程管理服务时，我们可以通过基于资源的约束委派从普通域用户变为域管理员。...修复将高权限账户设置为敏感账户，不能被委派： ? ? 可以看到，Rubeus已经无法通过S4U2Proxy为Administrator用户请求服务。

3.3K2 0

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

文中通过 Python 与 Microsoft Graph Security API 的代码示例，展示如何实现异常登录行为的自动化检测与响应。...Microsoft Authenticator 通知并点击 Approve”；横向移动：使用获取的会话访问 Power BI 或自定义校友数据库，导出 CSV 文件；数据外传：通过 OneDrive 共享链接或...4.2 检测层：基于行为的异常识别即使攻击者获得凭证，其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...此外，通过 Graph API 监控，我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件，验证了检测机制的有效性。...因此，安全重心必须从“是否合法登录”转向“登录后是否在做合法的事”。另一个值得反思的问题是教育机构的安全投入优先级。高校往往重视科研网络安全，却忽视行政系统的防护。

1700 0

Microsoft 本地管理员密码解决方案 (LAPS)

LAPS 通过为域中每台计算机上的通用本地管理员帐户设置不同的随机密码来解决此问题。使用该解决方案的域管理员可以确定哪些用户（例如帮助台管理员）有权读取密码。...密码可以在任何时候被访问，并且被委派的人可以在任何时候使用它们来查看它们。虽然可以启用审核，但必须为每个 OU、每个在域控制器上记录事件 ID 4662 的组进行配置。...此外，与其他一些本地帐户密码管理解决方案一样，密码在使用后不会自动更改。可以在环境中配置扩展权限，这可能允许未经授权的用户访问某些计算机上的 LAPS 密码。...Microsoft 建议只有默认管理员本地帐户是本地管理员组的成员，并且 LAPS 管理该帐户。虚拟环境中的 LAPS：在不改变状态的物理计算机上配置时，LAPS 运行良好。...委派访问权限后对工作站 OU 的权限。

5.1K1 0

横向移动与域控权限维持方法总汇

拿着PAC向KDC询问该用户是否有权限访问。...2.非约束性委派的攻击仅能基于机器账户如果我们获得了一个非约束性委派账户，我们就可以通过收集内存中的tgt达到任意用户访问的目的。...在被控制的非约束性委派机器上使用mimikatz。...::ptt 票据文件名将票据注入内存访问域控c$ 成功 3.非约束性委派配合 Spooler打印机服务纯非约束性委派攻击很鸡肋，因为必须要其他用户通过你进行委派访问。...如果客户端使用ProgID则先将其本地解析为CLSID。远程计算机检查是否存在由该CLSID所关联的AppID，并验证客户端的权限。

2.3K2 0

基于Security Copilot的钓鱼邮件智能分拣机制研究

值得注意的是，该代理强调“可解释性”与“人机协同”——不仅输出“是否为钓鱼”的二元判断，更以自然语言形式说明判断依据（如“邮件包含伪装成Microsoft Teams会议邀请的恶意链接，且发件域未通过DMARC...上下文关联：查询Microsoft Graph，确认发件人是否为已知联系人、近期是否有类似通信。...理由如下：发件域‘microsoft-security[.]net’非微软官方域名，且未通过DMARC验证（p=none）；邮件包含短链接（bit.ly/xxx），经展开后指向已知恶意载荷分发站点；正文使用...Microsoft Graph API提交反馈import requestsdef submit_feedback(message_id, is_phish, comment):url = f"https...此外，企业可通过角色权限控制（RBAC）限制谁可查看代理输出。

2291 0

点击加载更多

VoidProxy平台对多因素认证的绕过机制与防御对策研究

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

项目管理：推荐五款好用的项目管理工具

域渗透技巧

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

MAAD-AF：一款针对M365和Azure AD的安全测试工具

Agent设计模式——附录 G - 编码 Agent

基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

GitHub详解：代码托管与协作开发平台

上线 5 天狂揽 8.4K Star，Firecrawl 的 Open Lovable 火了，一键克隆任何网站。

如何使用S4UTomato通过Kerberos将服务账号提权为LocalSystem

基于OAuth滥用的定向钓鱼攻击与防御机制研究

微软开源Magentic-One：用于解决复杂任务的通才多代理系统

利用资源约束委派进行的提权攻击分析

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

Microsoft 本地管理员密码解决方案 (LAPS)

横向移动与域控权限维持方法总汇

基于Security Copilot的钓鱼邮件智能分拣机制研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐