2026-05-11 07:03:24 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： M365Pwned是一套专为红队测试设计的GUI工具集，包含MailPwned和SharePwned两个组件，通过MicrosoftGraphAPI的应用级OAuth令牌实现无需用户交互的邮箱与文件操作。工具支持客户端密钥、证书指纹和原始Token三种认证方式，具备全局搜索、邮件伪造、文件预览等核心功能，适用于凭证狩猎、横向钓鱼等实战场景。文档详细介绍了工具的使用方法、权限要求及OPSEC注意事项，并指出其依赖WindowsPowerShell5.1及遍历搜索效率等局限性。 综合评分： 85 文章分类： 红队,渗透测试,内网渗透,安全工具,WEB安全

cover_image

红队利器M365Pwned：用两个GUI工具接管你的Microsoft 365

幻泉之洲

2026年5月7日 16:00 北京

在小说阅读器读本章

去阅读

M365Pwned是一套红队工具，通过两个WinForms GUI脚本利用Microsoft Graph API的应用级OAuth令牌，无需用户交互就能枚举、搜索和窃取M365环境中的邮件和文件。本文详细介绍其功能、使用方法和实战场景。

做红队测试的朋友都知道，拿到一个Azure AD应用权限后，怎么高效地利用它去翻邮箱、搜文件、搞横向移动，是个头疼的问题。手工调用Graph API太慢，脚本又不直观。

今天介绍的M365Pwned就是解决这个痛点的。它俩兄弟——MailPwned和SharePwned——用WinForms界面让你像操作Outlook和SharePoint客户端一样，直接搜遍全租户的邮件和文件。

▲ M365Pwned工具界面概览

01 这是什么工具？

M365Pwned由两个PowerShell脚本组成：

MailPwned-GUI.ps1

——专攻Exchange Online/Outlook。浏览邮箱、搜索邮件、下载附件、伪造身份发邮件。
SharePwned-GUI.ps1

——专攻SharePoint/OneDrive。浏览站点和驱动器、搜索文件、预览和下载文档。

两个工具都只需要应用级别的OAuth令牌（客户端密钥、证书指纹或原始Token），不需要用户交互。也就是说，你只要拿到了一个拥有Mail.Read、Sites.Read.All等权限的应用凭据，就能在界面上点一点，把整个租户的数据扒过来。

⚠️ 免责声明：这些工具仅限授权红队演练、渗透测试和安全研究使用。未经授权使用他人系统属于违法行为。作者不承担任何滥用责任。

02 环境要求与认证方式

环境要求

Windows PowerShell 5.1（就是系统自带的那个），不需要PowerShell 7。但要提前注册好一个Azure AD应用，并且管理员同意过对应的Application权限（具体权限后面会说）。

三种认证方式

两个工具都支持以下三种方式连接：

客户端密钥

：-TenantId <租户ID> -ClientId <客户端ID> -ClientSecret <密钥>
证书指纹

：-TenantId <租户ID> -ClientId <客户端ID> -CertificateThumbprint <指纹>
原始Token

（Pass-the-Token）：-AccessToken <令牌>

三种方式各有利弊。密钥最简单，但容易被查；证书更隐蔽；原始Token适合你从别处偷来的访问令牌直接复用。

03 MailPwned：翻遍全租户的邮箱

权限要求

注意：Graph的/v1.0/search/query接口不支持下message实体类型的应用权限。所以MailPwned采用的是“枚举用户+逐个邮箱搜索”的策略——这正是它实现的唯一可行方案。

启动方式

powershell.exe -STA -File .\MailPwned-GUI.ps1

必须加 -STA 参数（单线程单元），否则WinForms界面跑不起来。

核心功能

连接方式：支持密钥、证书指纹、原始Token三种，还能选择地区（主权云/GCC云：欧洲、法国、北美、英国、亚太、澳大利亚、加拿大、印度、日本）
加载邮箱：浏览文件夹树，HTML全文渲染阅读邮件
全局搜索：不加载具体邮箱，直接搜遍全租户所有邮箱
作用域搜索：在已加载的邮箱内搜索
HTML预览：完整渲染，内联图片以data:URI方式嵌入，不发外部请求
附件下载：单文件或批量
撰写/回复/全部回复/转发：可发送冒充邮件
标记已读/未读、删除
导出CSV
API日志面板：实时彩色显示请求/响应，方便调试

红队实战场景

凭证狩猎

：搜所有邮箱里的password、credentials、VPN、secret等关键词
横向钓鱼

：读取正在进行的邮件线程，以被控账号身份发送逼真的回复
情报收集

：找出谁在和谁发邮件，发现敏感项目、HR数据、投资者通信
数据窃取

：批量下载匹配搜索结果的附件
持久化发现

：搜索MFA验证码、密码重置邮件、令牌确认邮件

04 SharePwned：翻遍SharePoint和OneDrive

权限要求

如果Sites.Read.All拿不到，SharePwned会自动降级到通过Files.Read.All去逐个枚举用户的驱动器——聊胜于无。

启动方式

同样：powershell.exe -STA -File .\SharePwned-GUI.ps1

核心功能

连接方式同MailPwned，也支持地区选择
枚举所有SharePoint站点
浏览驱动器树：导航站点文档库和OneDrive文件夹
全文搜索：关键词搜索所有驱动器（用/v1.0/search/query的driveItem实体）
降级搜索：没有Sites.Read.All时逐个驱动器搜索
文件预览：提取文档文本，内联预览面板
下载文件：支持进度条
文件类型图标：根据扩展名显示对应图标
API日志面板：同MailPwned

红队实战场景

凭证狩猎

：搜所有SharePoint/OneDrive里的password、secret、privatekey、.env等配置文件
情报收集

：枚举项目站点、HR驱动器、财务文档库
数据窃取

：下载感兴趣的文件，不留太多审计痕迹
访问范围映射

：枚举被控应用能触及的所有站点，了解爆炸半径

05 区域头部与OPSEC注意事项

区域头部

工具会自动发送Prefer: exchange.region=头部，把请求路由到正确的数据中心。对付非默认区域的租户必须设置。

| 代码 | 区域 | | — | — | | EUR | 欧洲 | | FRA | 法国（主权云） | | NAM | 北美 | | GBR | 英国 | | APC | 亚太 | | AUS | 澳大利亚 | | CAN | 加拿大 | | IND | 印度 | | JPN | 日本 |

OPSEC提醒

所有请求直接发往https://graph.microsoft.com，没有代理或中继
应用令牌中包含roles声明，Graph日志会显示注册应用身份下的应用级别访问
从文件加载邮箱列表（MailPwned）可以避免调用GET /users，如果你已经从OSINT或前期访问拿到了UPN列表，这样足迹更小
下载的HTML邮件中，内联图片以data:URI形式嵌入，打开时不会发外部请求
两个工具都会抑制脚本错误，获取令牌后完全离线运行

06 优缺点总结

优点：

界面友好，上手快，不需要手写PowerShell脚本或curl
支持三种认证方式，灵活性高
全局搜索功能强大，能快速定位敏感信息
邮件伪造功能很实用，适合横向钓鱼测试
SharePwned有降级机制，容错性好

缺点：

仅支持Windows PowerShell 5.1，依赖WinForms，不能在Linux或macOS上用
邮件搜索必须遍历每个邮箱，租户用户量大时速度堪忧
没有提供命令行静默模式，不适合自动化流水线
缺少文件批量下载的断点续传功能

07 适用场景推荐

如果你正在做一个M365环境授权的红队项目，手里刚好有一个高权限的应用令牌，M365Pwned能帮你快速验证“拿到应用权限后能造成多大破坏”。

特别是邮件伪造和OneDrive文件搜索这两块，很多时候客户根本没意识到应用权限能带来这么大的风险。把这个工具一跑，把结果截图放到报告里，比口说一万句都管用。

获取方式：私信回复”M365Pwned”获取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲《红队利器M365Pwned：用两个GUI工具接管你的Microsoft 365》