Az - Dynamic Groups Privesc

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Suporte ao HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Informações Básicas

Grupos dinâmicos são grupos que têm um conjunto de regras configuradas e todos os usuários ou dispositivos que correspondem às regras são adicionados ao grupo. Sempre que um atributo de usuário ou dispositivo é alterado, as regras dinâmicas são reverificadas. E quando uma nova regra é criada, todos os dispositivos e usuários são verificados.

Grupos dinâmicos podem ter funções do Azure RBAC atribuídas a eles, mas não é possível adicionar funções do AzureAD a grupos dinâmicos.

Esse recurso requer licença Azure AD premium P1.

Privesc

Observe que, por padrão, qualquer usuário pode convidar convidados no Azure AD, então, se uma regra de grupo dinâmico concede permissões a usuários com base em atributos que podem ser definidos em um novo convidado, é possível criar um convidado com esses atributos e escalar privilégios. Também é possível para um convidado gerenciar seu próprio perfil e alterar esses atributos.

Obtenha grupos que permitem associação dinâmica: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Exemplo

Exemplo de regra: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Descrição da regra: Qualquer usuário convidado com um e-mail secundário contendo a string 'tester' será adicionado ao grupo

Vá para Azure Active Directory -> Usuários e clique em Quer voltar à experiência da lista de usuários legada? Clique aqui para sair da prévia
Clique em Novo usuário convidado e convide um e-mail
O perfil do usuário será adicionado ao Azure AD assim que o convite for enviado. Abra o perfil do usuário e clique em (gerenciar) sob Convite aceito.

Altere Reenviar convite? para Sim e você receberá uma URL de convite:

Copie a URL e abra-a, faça login como o usuário convidado e aceite o convite
Faça login no cli como o usuário e defina o e-mail secundário

```powershell
# Login
$password = ConvertTo-SecureString 'password' -AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Alterar configuração OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```

Referências

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

PreviousAz - Conditional Access Policies / MFA Bypass NextDigital Ocean Pentesting

Last updated 1 month ago