Az - Dynamic Groups Privesc

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovne informacije

Dinamičke grupe su grupe koje imaju skup pravila konfigurisanih i svi korisnici ili uređaji koji se podudaraju sa pravilima se dodaju u grupu. Svaki put kada se atribut korisnika ili uređaja promeni, dinamička pravila se ponovo proveravaju. I kada se kreira novo pravilo, svi uređaji i korisnici se proveravaju.

Dinamičke grupe mogu imati dodeljene Azure RBAC uloge, ali nije moguće dodati AzureAD uloge dinamičkim grupama.

Ova funkcija zahteva Azure AD premium P1 licencu.

Privesc

Imajte na umu da podrazumevano svaki korisnik može pozvati goste u Azure AD, tako da, ako dinamična grupa pravilo daje dozvole korisnicima na osnovu atributa koji mogu biti postavljeni u novom gostu, moguće je kreirati gosta sa ovim atributima i dodeliti privilegije. Takođe je moguće da gost upravlja svojim profilom i promeni ove atribute.

Dobijanje grupa koje dozvoljavaju Dinamičko članstvo: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Primer

Primer pravila: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Opis pravila: Svaki gost korisnik sa sekundarnim emailom sa stringom 'tester' će biti dodat u grupu

Idite na Azure Active Directory -> Korisnici i kliknite na Želite li da se vratite na iskustvo starog korisničkog spiska? Kliknite ovde da napustite pregled
Kliknite na Novi gost korisnik i pozovite email
Korisnički profil će biti dodat u Azure AD čim se pošalje pozivnica. Otvorite korisnički profil i kliknite na (upravljaj) ispod Prihvaćena pozivnica.

Promenite Ponovo pošalji pozivnicu? na Da i dobićete URL pozivnice:

Kopirajte URL i otvorite ga, prijavite se kao pozvani korisnik i prihvatite pozivnicu
Prijavite se u CLI kao korisnik i postavite sekundarni email

# Prijavite se
$password = ConvertTo-SecureString 'lozinka' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Promenite OtherMails postavku
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <KorisničkoIme>@<IME_TENANTA>.onmicrosoft.com -Verbose

Reference

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

PreviousAz - Conditional Access Policies / MFA Bypass NextDigital Ocean Pentesting

Last updated 7 months ago