Az - Dynamic Groups Privesc

Apprenez et pratiquez le Hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)

Soutenir HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PRs aux HackTricks et HackTricks Cloud dépôts github.

Informations de Base

Les groupes dynamiques sont des groupes qui ont un ensemble de règles configurées et tous les utilisateurs ou appareils qui correspondent aux règles sont ajoutés au groupe. Chaque fois qu'un attribut d'utilisateur ou d'appareil est modifié, les règles dynamiques sont vérifiées à nouveau. Et lorsqu'une nouvelle règle est créée, tous les appareils et utilisateurs sont vérifiés.

Les groupes dynamiques peuvent avoir des rôles Azure RBAC assignés à eux, mais il n'est pas possible d'ajouter des rôles AzureAD aux groupes dynamiques.

Cette fonctionnalité nécessite une licence Azure AD premium P1.

Privesc

Notez qu'en règle générale, tout utilisateur peut inviter des invités dans Azure AD, donc, si une règle de groupe dynamique donne des permissions aux utilisateurs en fonction des attributs qui peuvent être définis dans un nouvel invité, il est possible de créer un invité avec ces attributs et d'escalader les privilèges. Il est également possible pour un invité de gérer son propre profil et de modifier ces attributs.

Obtenez les groupes qui permettent l'adhésion dynamique : Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Exemple

Exemple de règle : (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Description de la règle : Tout utilisateur invité avec un email secondaire contenant la chaîne 'tester' sera ajouté au groupe

Allez dans Azure Active Directory -> Utilisateurs et cliquez sur Voulez-vous revenir à l'ancienne expérience de liste d'utilisateurs ? Cliquez ici pour quitter l'aperçu
Cliquez sur Nouvel utilisateur invité et invitez un email
Le profil de l'utilisateur sera ajouté à Azure AD dès que l'invitation est envoyée. Ouvrez le profil de l'utilisateur et cliquez sur (gérer) sous Invitation acceptée.

Changez Renvoyer l'invitation ? en Oui et vous obtiendrez une URL d'invitation :

Copiez l'URL et ouvrez-la, connectez-vous en tant qu'utilisateur invité et acceptez l'invitation
Connectez-vous dans le cli en tant qu'utilisateur et définissez l'email secondaire

```powershell
# Connexion
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Changer le paramètre OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```

Références

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

Soutenir HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PR aux HackTricks et HackTricks Cloud dépôts github.

PreviousAz - Conditional Access Policies / MFA Bypass NextDigital Ocean Pentesting

Last updated 3 days ago

Informations de Base

Les groupes dynamiques peuvent avoir des rôles Azure RBAC assignés à eux, mais il n'est pas possible d'ajouter des rôles AzureAD aux groupes dynamiques.

Cette fonctionnalité nécessite une licence Azure AD premium P1.

Privesc

Obtenez les groupes qui permettent l'adhésion dynamique : Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Exemple

Exemple de règle : (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

Description de la règle : Tout utilisateur invité avec un email secondaire contenant la chaîne 'tester' sera ajouté au groupe

Allez dans Azure Active Directory -> Utilisateurs et cliquez sur Voulez-vous revenir à l'ancienne expérience de liste d'utilisateurs ? Cliquez ici pour quitter l'aperçu

Cliquez sur Nouvel utilisateur invité et invitez un email

Le profil de l'utilisateur sera ajouté à Azure AD dès que l'invitation est envoyée. Ouvrez le profil de l'utilisateur et cliquez sur (gérer) sous Invitation acceptée.

Changez Renvoyer l'invitation ? en Oui et vous obtiendrez une URL d'invitation :

Copiez l'URL et ouvrez-la, connectez-vous en tant qu'utilisateur invité et acceptez l'invitation

Connectez-vous dans le cli en tant qu'utilisateur et définissez l'email secondaire

```powershell
# Connexion
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Changer le paramètre OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```