探索身份验证新维度：TokenTactics v2

探索身份验证新维度：TokenTactics v2

TokenTacticsV2A fork of the great TokenTactics with support for CAE and token endpoint v2项目地址:https://gitcode.com/gh_mirrors/to/TokenTacticsV2

项目介绍

TokenTactics v2 是一个强大的开源工具集，由@rvrsh3ll和@0xBoku共同创建，并进行了大幅度的更新，特别是引入了对连续访问评估（Continuous Access Evaluation, CAE）的支持。这个版本的目标是帮助安全研究人员和开发者更有效地操作和分析Azure Active Directory(Azure AD)的JSON Web Token (JWT)。

项目技术分析

TokenTactics v2 使用最新的Azure AD OAuth2端点，支持包括OneDrive、SharePoint在内的多个服务，并提供了一个清晰易懂的人类可读的JWT令牌解析功能。此外，它引入了以下新技术特性：

1. 连续访问评估(CAE)：利用新的-UseCAE开关，可以测试和验证CAE策略如何影响访问令牌的生命周期和安全性。
2. 平台扩展性：版本v2现在支持Linux和OS/2设备，扩大了工具的适用范围。
3. 代码重构：通过减少冗余代码并优化结构，使模块化和扩展变得更加简单。

项目及技术应用场景

TokenTactics v2 可用于多种场景，包括：

• 安全研究：了解Azure AD的身份验证流程和CAE的影响。
• 渗透测试：模拟攻击者行为，检测组织的安全控制。
• 应用程序调试：开发过程中，快速获取和刷新Azure AD授权令牌。
• 教育与学习：为学习身份认证和OAuth协议的学生提供实践机会。

项目特点

TokenTactics v2 的关键亮点包括：

1. 多服务支持：不仅支持Azure AD，还涵盖了Outlook、MSTeams、OneDrive、SharePoint等微软在线服务。
2. 设备代码流：简化了获取刷新令牌的过程，适用于恶意软件或社会工程学钓鱼活动。
3. ESTSAuth Cookie 支持*：可以从捕获的会话cookie中提取刷新令牌，进行进一步的分析和利用。
4. CAE兼容性：允许用户检查和测试令牌是否受CAE策略影响，增加了安全评估的深度。
5. 模块化设计：一系列可调用的函数使得任务执行更加灵活，易于集成到自动化脚本中。

通过导入.psd1文件并运行提供的命令行示例，您可以轻松开始探索这个强大的工具集。

对于任何在Azure AD环境中工作的人来说，无论是为了安全审计还是日常运维，TokenTactics v2 都是一个不可或缺的资源。立即下载并尝试，开启您的身份验证旅程！

TokenTacticsV2A fork of the great TokenTactics with support for CAE and token endpoint v2项目地址:https://gitcode.com/gh_mirrors/to/TokenTacticsV2