TokenSmith:生成Entra ID访问与刷新令牌
项目地址: https://gitcode.com/gh_mirrors/to/TokenSmith 在当今数字化时代,网络安全显得尤为重要。对于安全测试人员来说,拥有一款能够高效生成访问令牌的工具是必不可少的。TokenSmith就是这样一款工具,它专为进攻性安全测试设计,能够帮助安全专家在模拟攻击、渗透测试或系统管理员任务中生成Entra ID访问和刷新令牌。
项目介绍
TokenSmith是一款开源工具,它基于安全性考虑,提供了多种生成令牌的方式,特别适用于隐蔽的对手模拟和渗透测试。该工具生成的令牌可以与许多流行的Azure进攻性工具无缝配合使用。其简洁的命令行界面和灵活的配置选项,使得它成为安全测试人员的不二选择。
项目技术分析
TokenSmith使用Go语言开发,这使得它具有高性能和跨平台的特性。项目的架构设计考虑到了操作的灵活性和安全性,允许用户自定义客户端ID、资源、重定向URI以及用户代理字符串,以满足不同的操作安全需求或特定使用场景。
技术亮点
- 授权码流程:用户可以通过浏览器完成授权,然后使用重定向URI中的
code参数来获取有效的令牌。 - Intune绕过:TokenSmith支持绕过Intune合规设备条件访问,即使需要从非合规设备登录,也可以使用
-i或--intune-bypass标志获取访问令牌。
项目及技术应用场景
TokenSmith的应用场景非常广泛,以下是几个主要的应用场景:
- 渗透测试:在模拟攻击中,安全专家可以利用TokenSmith生成令牌,以测试系统的安全性。
- 系统管理:系统管理员可以使用TokenSmith来执行需要Entra ID认证的任务。
- 安全研究:安全研究人员可以使用TokenSmith来研究和分析Entra ID的认证机制。
使用示例
- 获取令牌:通过运行
./tokensmith authcode命令并使用浏览器登录来获取令牌。 - 刷新令牌:使用
./tokensmith reftoken命令来从刷新令牌获取新的访问令牌。
项目特点
TokenSmith的以下特点使其在同类工具中脱颖而出:
- 灵活性:用户可以选择在任何浏览器上认证,使用密码、MFA、导入ESTSAUTHPERSISTENT cookies,或者使用当前浏览器会话来完成认证。
- 安全性:TokenSmith不包含任何浏览器组件,也不需要在同一主机上运行浏览器,从而减少了被检测的风险。
- 跨平台:由于使用Go语言开发,TokenSmith可以在多个平台上运行,包括Windows、Linux和macOS。
未来规划
TokenSmith的开发团队计划添加更多功能,包括更详细的文档、设备代码流程、检查访问权限和一个精简的PowerShell版本。
TokenSmith是一个强大而灵活的开源工具,它为安全专家提供了一个高效的方式来生成和刷新Entra ID令牌,无论是在渗透测试还是日常的系统管理任务中,都是一款不可或缺的利器。我们强烈推荐安全测试人员尝试使用TokenSmith,以提升他们的工作效率和安全性。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
152
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
