文章总结： 红队研究人员发布M365Pwned工具包，该工具基于PowerShell和GraphAPI，利用应用级OAuth令牌针对Microsoft365环境进行渗透测试。其包含MailPwned和SharePwned组件，支持邮件与文件存储的枚举、搜索及窃取，具备伪造钓鱼邮件功能。文章解析了技术实现与应用场景，建议企业审计AzureAD应用权限及监控异常服务主体访问以加强防护。 综合评分： 88 文章分类： 红队,渗透测试,安全工具,云安全

基于Graph API的微软365红队图形化攻击工具包M365Pwned发布

FreeBuf

2026年3月10日 18:05 上海

#

代号为 OtterHacker 的红队研究人员公开发布了 M365Pwned，这是一套 WinForms 图形界面工具，专为通过应用级 OAuth 令牌（无需用户交互）枚举、搜索和窃取 Microsoft 365 环境数据而设计。

#

Part01

工具架构与认证机制

该工具包完全基于 PowerShell 5.1 构建，利用 Microsoft Graph API，为针对企业 M365 租户的渗透测试人员和攻击模拟操作人员提供了强大的入侵后攻击能力。

工具包包含两个组件：

• MailPwned-GUI.ps1：针对 Exchange Online 和 Outlook
• SharePwned-GUI.ps1：针对 SharePoint 和 OneDrive

两款工具均通过注册的 Azure AD 应用程序运行（需管理员同意的应用程序权限），支持三种认证方式：客户端密钥、证书指纹和原始访问令牌（pass-the-token）。

Part02

MailPwned核心功能

MailPwned 提供全功能 WinForms 界面，支持大规模操作 Exchange Online。认证后，操作人员可以：

• 使用User.Read.All枚举所有租户邮箱
• 在所有邮箱中执行全局关键词搜索
• 阅读完整 HTML 渲染的电子邮件（支持内联图片预览，无需外部请求）

该工具原生支持批量附件下载、仿冒攻击邮件撰写和 CSV 导出功能，并突破了 Graph API 的关键限制：使用message实体类型的/v1.0/search/query接口不支持应用程序权限。

Part03

技术实现与红队应用场景

MailPwned 通过逐用户邮箱枚举和限定范围的单邮箱搜索技术实现突破，这种技术不仅功能完善，当从 OSINT 预加载 UPN 列表时还能产生更低的审计足迹。

所需关键权限包括：

• Mail.Read
• User.Read.All
• （可选）Mail.ReadWrite（用于发送和删除操作）

作者强调的红队应用场景包括：

• 凭证收集（搜索_password_、VPN、_secret_等关键词）
• 通过线程劫持进行横向钓鱼
• HR 和投资者情报收集
• 批量附件窃取

Part04

SharePwned 文件存储渗透能力

SharePwned 采用与 MailPwned 类似的方法针对文件存储环境。操作人员可以：

• 枚举租户内所有 SharePoint 站点
• 浏览文档库
• 通过/v1.0/search/query接口（使用driveItem实体）执行全文文件搜索

当Sites.Read.All不可用时，工具会回退到使用Files.Read.All权限执行单驱动器搜索模式。

文件预览支持内联文本提取，工具还包含扩展名感知图标和实时彩色编码的 API 日志面板用于操作调试。

Part05

多区域支持与安全防护建议

两款工具均支持通过Prefer: exchange.region=标头选择欧洲、北美、亚太等主权云和 GCC 云区域，确保非默认租户的数据中心路由正确。

从操作安全（OPSEC）角度看：

• 所有请求直接路由至https://graph.microsoft.com
• Graph 审计日志会记录在注册应用程序身份下的访问

安全团队应采取以下防护措施：

• 审计 Azure AD 应用程序权限
• 监控异常的Mail.Read或Sites.Read.All应用级访问
• 审查非用户交互式服务主体的授权许可

注：Ethical-Kaizoku 开发的 SharePwned CLI 版本已在 GitHub 上单独发布。

参考来源：

M365Pwned – Red Team GUI Toolkit for Microsoft 365 Exploitation via Graph API

M365Pwned – Red Team GUI Toolkit for Microsoft 365 Exploitation via Graph API

#

#

#

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《基于Graph API的微软365红队图形化攻击工具包M365Pwned发布》