GraphRunner: Microsoft Graph APIと連携するためのポストエクスプロイテーションツールセット

GraphRunner

GraphRunnerは、Microsoft Graph APIと連携するためのポストエクスプロイテーションツールセットです。Microsoft Entra ID（Azure AD）アカウントから偵察、永続化、およびデータ流出を実行するための様々なツールを提供します。

ビジネス&生産性ソフトウェア

これは3つの別々の部分で構成されています：

• 大多数のモジュールが含まれるPowerShellスクリプト
• アクセストークンを利用してユーザーアカウントをナビゲートして流出させることができるHTML GUI
• OAuthフロー中に認証コードを収集するための簡単なPHPリダイレクター

主な機能

• メールの検索とエクスポート
• ユーザーがアクセス可能なSharePointおよびOneDriveファイルの検索とエクスポート
• ユーザーに表示されるすべてのTeamsチャットとチャネルを検索し、全会話をエクスポート
• 悪意あるアプリのデプロイ
• 露出している誤設定されたメールボックスの発見
• ウォーターホール攻撃を実行するためのセキュリティグループのクローン
• ユーザーが直接変更できるグループ、またはメンバーシップルールを悪用してアクセスを獲得できるグループを検索
• 特定の用語についてすべてのユーザー属性を検索
• Graph APIで構築されたGUIを使用してユーザーアカウントを流出
• 条件付きアクセスポリシーのダンプ
• 同意とスコープを含むアプリ登録と外部アプリをダンプして、潜在的に悪意あるアプリを識別
• 同意許可攻撃中にOAuthフローを完了するためのツール
• GraphRunnerはサードパーティのライブラリやモジュールに依存しません
• Windowsおよび Linuxで動作
• トークンパッケージを継続的に更新

ダウンロード

git clone https://github.com/dafthack/GraphRunner.git

使用方法

GraphRunnerはポストエクスプロイテーションツールであるため、ほとんどのモジュールは認証されたアクセストークンの取得に依存しています。これを支援するために、ユーザートークンとアプリケーション（サービスプリンシパル）トークンの両方を取得および操作するための複数のモジュールがあります。

良いスタートポイントは、PowerShellスクリプトをインポートしてGet-GraphTokensモジュールを実行することです。

著作権 (c) 2023 Beau Bullock