Az - Dynamic Groups Privesc

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repos de github.

Información Básica

Grupos dinámicos son grupos que tienen un conjunto de reglas configuradas y todos los usuarios o dispositivos que coinciden con las reglas son añadidos al grupo. Cada vez que un atributo de usuario o dispositivo es cambiado, las reglas dinámicas son verificadas nuevamente. Y cuando una nueva regla es creada, todos los dispositivos y usuarios son verificados.

Los grupos dinámicos pueden tener roles de Azure RBAC asignados a ellos, pero no es posible añadir roles de AzureAD a grupos dinámicos.

Esta función requiere una licencia premium P1 de Azure AD.

Privesc

Ten en cuenta que por defecto cualquier usuario puede invitar a invitados en Azure AD, así que, si una regla de grupo dinámico otorga permisos a usuarios basados en atributos que pueden ser establecidos en un nuevo invitado, es posible crear un invitado con estos atributos y escalar privilegios. También es posible que un invitado gestione su propio perfil y cambie estos atributos.

Obtén grupos que permiten membresía dinámica: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Ejemplo

Ejemplo de regla: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Descripción de la regla: Cualquier usuario invitado con un correo electrónico secundario que contenga la cadena 'tester' será añadido al grupo

Ve a Azure Active Directory -> Usuarios y haz clic en ¿Quieres volver a la experiencia de lista de usuarios heredada? Haz clic aquí para salir de la vista previa
Haz clic en Nuevo usuario invitado e invita un correo electrónico
El perfil del usuario será añadido a Azure AD tan pronto como se envíe la invitación. Abre el perfil del usuario y haz clic en (gestionar) bajo Invitación aceptada.

Cambia ¿Reenviar invitación? a Sí y recibirás una URL de invitación:

Copia la URL y ábrela, inicia sesión como el usuario invitado y acepta la invitación
Inicia sesión en la CLI como el usuario y establece el correo electrónico secundario

```powershell
# Inicio de sesión
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Cambiar la configuración de OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```

Referencias

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousAz - Conditional Access Policies / MFA Bypass NextDigital Ocean Pentesting

Last updated 3 days ago

Información Básica

Los grupos dinámicos pueden tener roles de Azure RBAC asignados a ellos, pero no es posible añadir roles de AzureAD a grupos dinámicos.

Esta función requiere una licencia premium P1 de Azure AD.

Privesc

Obtén grupos que permiten membresía dinámica: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Ejemplo

Ejemplo de regla: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

Descripción de la regla: Cualquier usuario invitado con un correo electrónico secundario que contenga la cadena 'tester' será añadido al grupo

Ve a Azure Active Directory -> Usuarios y haz clic en ¿Quieres volver a la experiencia de lista de usuarios heredada? Haz clic aquí para salir de la vista previa

Haz clic en Nuevo usuario invitado e invita un correo electrónico

El perfil del usuario será añadido a Azure AD tan pronto como se envíe la invitación. Abre el perfil del usuario y haz clic en (gestionar) bajo Invitación aceptada.

Cambia ¿Reenviar invitación? a Sí y recibirás una URL de invitación:

Copia la URL y ábrela, inicia sesión como el usuario invitado y acepta la invitación

Inicia sesión en la CLI como el usuario y establece el correo electrónico secundario

```powershell
# Inicio de sesión
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Cambiar la configuración de OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```