dafthack/GraphRunner

# GraphRunner  GraphRunner 是一个用于与 Microsoft Graph API 进行交互的后渗透工具集。它提供了各种工具，用于对 Microsoft Entra ID (Azure AD) 账户执行侦察、权限维持和数据窃取。 它由三个独立的部分组成： * 一个 PowerShell 脚本，其中包含大部分模块 * 一个 HTML GUI，可以利用访问令牌来导航和窃取用户的账户数据 * 一个简单的 PHP 重定向器，用于在 OAuth 流程中获取身份验证代码 ## 主要功能 * 搜索并导出电子邮件 * 搜索并导出用户可访问的 SharePoint 和 OneDrive 文件 * 搜索用户可见的所有 Teams 聊天和频道，并导出完整的对话记录 * 部署恶意应用程序 * 发现配置错误且暴露的邮箱 * 克隆安全组以执行水坑攻击 * 查找可以由您的用户直接修改的组，或者可以通过滥用成员规则来获取访问权限的组 * 搜索所有用户属性中的特定术语 * 利用基于 Graph API 构建的 GUI 来窃取用户的账户数据 * 导出条件访问策略 * 导出应用注册和外部应用，包括同意和范围，以识别潜在的恶意应用程序 * 在同意授予攻击期间完成 OAuth 流程的工具 * GraphRunner 不依赖任何第三方库或模块 * 支持 Windows 和 Linux * 持续刷新您的令牌包 ## 用法 由于 GraphRunner 是一个后渗透工具，它的大部分模块都依赖于已通过身份验证的访问令牌。为了协助完成这一过程，提供了多个模块用于获取和处理用户及应用程序（服务主体）令牌。 一个很好的起点是导入 PowerShell 脚本并运行 Get-GraphTokens 模块。 ``` Import-Module .\GraphRunner.ps1 Get-GraphTokens ``` 接下来，请查看 [wiki](https://github.com/dafthack/GraphRunner/wiki) 以获取完整的用户指南和有关各个模块的详细信息。

标签：AI合规, Azure AD, IPv6, Libemu, meg, Microsoft Entra ID, Microsoft Graph API, OAuth, OneDrive, OpenVAS, PHP, PowerShell, SharePoint, Teams数据导出, 令牌刷新, 企业安全, 信息安全, 反取证, 后渗透工具, 嗅探欺骗, 多模态安全, 安全组克隆, 安全评估, 恶意应用部署, 数据泄露, 数据窃取, 权限维持, 条件访问策略, 网络安全, 网络资产管理, 隐私保护