EntraTokenAid：简化OAuth工作流的 PowerShell 模块

EntraTokenAid：简化OAuth工作流的 PowerShell 模块

EntraTokenAid A pure PowerShell solution for Entra OAuth authentication, enabling easy retrieval of access and refresh tokens 项目地址: https://gitcode.com/gh_mirrors/en/EntraTokenAid

EntraTokenAid 是一个 PowerShell 模块，旨在简化使用 Microsoft Entra ID 进行 OAuth 工作流，用于获取不同 API 的访问和刷新令牌。

项目介绍

在参与研究和各种工作场景中，经常需要访问明文的访问和刷新令牌，尤其是使用预先同意的客户端（例如 AzureCLI）以避免额外的同意提示。不仅手动枚举 API 需要令牌，一些工具如 AzureHound 或 GraphRunner 也需要一个有效的刷新令牌。

随着越来越多的客户开始阻止设备代码流，寻找替代的身份验证方法以获取明文刷新令牌变得越来越重要。尽管使用 AzureCLI 模块是一个常见解决方案，但其安装可能并不总是可行，尤其是在客户系统中。其他替代方案如 roadtx 需要依赖 Python，这可能在客户环境中不理想。

EntraTokenAid 作为一个轻量级的、独立的 PowerShell 解决方案，可以填补这一空白，它甚至可以在客户的 Windows 系统上运行。

项目技术分析

EntraTokenAid 采用 PowerShell 编写，无需额外依赖，可以直接在 Windows 系统上运行（已在 PS 5&7 上测试，部分支持 Linux）。该模块支持 OAuth 授权代码流和设备代码流，能够灵活地使用刷新令牌获取任何 API 和客户端的访问令牌。

此外，EntraTokenAid 默认请求支持 CAE（连续访问评估）的访问令牌，有效期为 24 小时。它还能自动解码访问令牌，显示详细信息（例如范围、租户、IP、身份验证方法等）。

项目技术应用场景

EntraTokenAid 适用于以下场景：

1. 研究和工作参与：在进行研究或参与项目时，需要获取 MS Graph 等微软 API 的访问和刷新令牌。
2. 自动化工具集成：需要将获取的令牌用于 AzureHound、GraphRunner 等自动化工具。

项目特点

• 无依赖：纯 PowerShell 单文件模块，可在 Windows 系统上运行（PS 5&7 已测试，Linux 部分支持）。
• 交互式认证：支持 OAuth 授权代码流和设备代码流。
• 灵活刷新：使用刷新令牌为任何 API 和客户端获取访问令牌。
• CAE 支持：默认请求支持 CAE 的访问令牌，有效期为 24 小时。
• JWT 解析：自动解码访问令牌，显示详细信息。
• 避免同意：默认使用 Azure CLI 客户端 ID，无需额外同意即可执行许多 MS Graph API 操作。
• 参数丰富：提供多种参数，可自定义工具行为，提供更大控制权。
• 自动化友好：可禁用用户选择，自动进行 OAuth 授权代码流测试，并将收集的令牌和声明导出至 CSV 文件。
• 实验性功能：在 Windows 上，使用旧方法启动和控制浏览器，自动检索授权代码并无缝交换令牌。

以下是项目的一些使用示例：

认证和获取令牌

使用默认选项执行认证并获取令牌（MS Graph API / Azure CLI 作为客户端）：

$Tokens = Invoke-Auth

在 Azure ARM API 上进行认证：

$Tokens = Invoke-Auth -API "management.azure.com"

使用自定义客户端 ID 和范围进行认证：

$Tokens = Invoke-Auth -ClientID "your-client-id" -Scope "offline_access Mail.Read"

绕过需要合规设备的条件访问策略：

$Tokens = Invoke-Auth -ClientID '9ba1a5c7-f17a-4de9-a1f1-6178c8d51223' -RedirectUrl 'urn:ietf:wg:oauth:2.0:oob'

为 main.iam.ad.ext.azure.com 获取令牌：

$Tokens = Invoke-Auth -Api '74658136-14ec-4630-ad9b-26e160ff0fc6'

使用第三方工具

使用官方 PowerShell 模块连接到 Microsoft Graph API：

$Tokens = Invoke-Auth
Connect-MgGraph -AccessToken ($Tokens.access_token | ConvertTo-SecureString -AsPlainText -Force)

认证并使用 AzureHound：

$Tokens = Invoke-Auth
.\azurehound.exe --refresh-token $Tokens.refresh_token list --tenant $Tokens.tenant -o output-all.json

认证并使用 GraphRunner：

$tokens = Invoke-Auth
Invoke-GraphRecon -Tokens $tokens -PermissionEnum

通过上述分析，可以看出 EntraTokenAid 是一个功能强大且实用的开源项目，对于需要与微软 API 进行交互的开发者和研究人员来说，是一个值得推荐的工具。

EntraTokenAid A pure PowerShell solution for Entra OAuth authentication, enabling easy retrieval of access and refresh tokens 项目地址: https://gitcode.com/gh_mirrors/en/EntraTokenAid