文章总结： 本文详细介绍了OAuth钓鱼攻击的完整流程，包括攻击者在MicrosoftEntraID中注册恶意应用、构造恶意授权链接诱导用户授权、获取访问令牌等步骤。攻击利用合法的微软域名和标准OAuth协议，具有高隐蔽性、能绕过MFA、利用权限治理盲区等特点。文章通过实际演示展示了攻击者如何捕获授权码并申请访问令牌，进而访问受害者的敏感数据。这种攻击方式利用了用户对官方登录页面的信任，突显了第三方应用授权监控的重要性。 综合评分： 85 文章分类： 社会工程学,WEB安全,红队,漏洞分析,安全意识

记一次完整的OAuth钓鱼攻击实录

原创

SharkSec

SharkSec

2025年12月19日 18:58 湖南

🔔 温馨提示：为了防止走散，不错过每一篇干货内容，请记得将公众号设置为星标！🌟

【声明】本文技术、思路及工具仅用于合法安全测试与防御研究，严禁用于非法入侵、攻击他人系统或盈利等违法违规行为，一切后果由操作者自行承担，作者及团队不承担任何连带责任。

OAuth 简介

OAuth 2.0 是一种授权协议。使用时，开发者在授权平台注册应用来获取唯一的客户端 ID 并设置一个重定向地址，用户完成授权后，平台会把授权结果重定向到这个地址。

Oauth2.0 定义了几种授权流程，其中最重要、也最基础的是 Authorization Code 授权：

OAuth 钓鱼流程

攻击者首先在 Microsoft Entra ID 中注册一个高权限的恶意应用，并伪装成可信服务。然后，他们通过钓鱼邮件等方式向受害者发送一个指向微软官方登录页面的恶意授权链接。用户在真实的微软页面上会看到权限请求弹窗，由于应用名称和图标经过伪装，用户可能误信而点击“接受”。一旦授权，攻击者即可获得访问令牌，直接以该用户身份访问其邮件、文档等敏感数据。

攻击的关键在于恶意授权链接。该链接利用合法的微软域名（login.microsoftonline.com）作为掩护，格式示例如下：

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id={恶意应用的客户端ID}&response_type=code&redirect_uri={攻击者控制的回调地址}&scope={请求的权限范围}&response_mode=query&grant_type=authorization_code

其中：

• client_id：对应伪装成可信服务的恶意应用。
• redirect_uri：授权成功后，系统将授权码重定向到攻击者控制的服务器。
• scope：通常申请高权限，如读取邮件（Mail.Read）、离线访问（offline_access）等。

OAuth 钓鱼优点

隐蔽性高：利用标准OAuth协议，流量合法，规避传统检测。

能够绕过MFA：不依赖密码窃取，而是通过诱导用户主动授权。

权限治理盲区：针对普遍存在的第三方应用授权监控盲区。

OAuth 钓鱼演示

1

受害者访问恶意链接

构造恶意链接，诱导受害者访问：

受害者接受后，将会带着code跳转到redirect_url

2

攻击者获取Token

构捕获受害者code

利用受害者code申请access_token

拿到token后，就可以进行后续的域内的信息收集及利用了。

如果大家对我们的文章技术有什么建议或者工具使用上的反馈，都欢迎大家在评论区留言交流。对我们分享的文章感兴趣，想要深入探讨、交流并学习更多相关内容，也欢迎各位师傅加入官方技术交流群!!!（关注公众号，点击菜单栏：联系我们->技术交流群，添加管理员微信，备注【加群】，拉您进群）

加入圈子，一起进阶！

我们圈子已平稳运营一段时间啦，后续也会持续为大家输送高质量的实战资源：有一线团队的一手攻防经验、私有工具源码（包括咱们公众号发的工具，圈子里能直接拿源码 + 持续迭代），还有漏洞挖掘的 POC/EXP、每月不定期 0day 分享，hw实战攻防遇见高频oa/设备源码都能在这拿到。

对了，圈子里还有些「刚需资源」：FOFA 的 Key 长期能用，Cursor Pro 共享账号登了就能用； 企业 SRC 案例、红队实战经验也会拆解着讲。

现在圈子现价 119 / 人，等满 100 人就涨到 129 了 —— 入了圈子还能进专属内部群，比咱们公开交流群的资源更新更实时、讨论也更深度。

纷传和知识星球内容是同步的，后期主要运营纷传，所以想进圈子的朋友直接扫描下方二维码就可以啦~

结束

👉 点击关注不迷路，一起潜入深水区，突破边界，共同精进！🚀

查看原文：《记一次完整的OAuth钓鱼攻击实录》