Az - Dynamic Groups Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Dynamic groups ni vikundi ambavyo vina seti ya kanuni zilizowekwa na watumiaji wote au vifaa vinavyolingana na kanuni hizo vinajumuishwa kwenye kundi. Kila wakati sifa ya mtumiaji au kifaa inapo badilishwa, kanuni za dynamic zinarejelewa. Na wakati kanuni mpya inapo undwa vifaa vyote na watumiaji wanachunguzwa.

Vikundi vya dynamic vinaweza kuwa na Azure RBAC roles zilizotolewa kwao, lakini haiwezekani kuongeza AzureAD roles kwa vikundi vya dynamic.

Kipengele hiki kinahitaji leseni ya Azure AD premium P1.

Privesc

Kumbuka kwamba kwa kawaida mtumiaji yeyote anaweza kuwalika wageni katika Azure AD, hivyo, ikiwa kanuni ya kundi la dynamic inatoa idhini kwa watumiaji kulingana na sifa ambazo zinaweza kuwekwa kwa mgeni mpya, inawezekana kuunda mgeni mwenye sifa hizi na kuinua mamlaka. Pia inawezekana kwa mgeni kusimamia wasifu wake mwenyewe na kubadilisha sifa hizi.

Pata vikundi vinavyoruhusu Uanachama wa Dynamic: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Example

Mfano wa kanuni: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Maelezo ya kanuni: Mtumiaji yeyote wa Mgeni mwenye barua pepe ya pili yenye maandiko 'tester' ataongezwa kwenye kundi

Nenda kwenye Azure Active Directory -> Watumiaji na bonyeza Unataka kubadilisha tena kwenye orodha ya watumiaji wa zamani? Bonyeza hapa kuondoka kwenye mapitio
Bonyeza kwenye Mtumiaji mpya wa mgeni na walika barua pepe
Wasifu wa mtumiaji uta ongezwa kwenye Azure AD mara tu mwaliko utakapokuwa umetumwa. Fungua wasifu wa mtumiaji na bonyeza (simamia) chini ya Mwaliko umekubaliwa.

Badilisha Rejesha mwaliko? kuwa Ndio na utapata URL ya mwaliko:

Nakili URL na fungua hiyo, ingia kama mtumiaji aliyealikwa na kubali mwaliko
Ingia kwenye cli kama mtumiaji na weka barua pepe ya pili

```powershell
# Login
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Badilisha mipangilio ya OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```

Marejeleo

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au fuata sisi kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAz - Conditional Access Policies / MFA Bypass NextDigital Ocean Pentesting

Last updated 3 days ago

Basic Information

Vikundi vya dynamic vinaweza kuwa na Azure RBAC roles zilizotolewa kwao, lakini haiwezekani kuongeza AzureAD roles kwa vikundi vya dynamic.

Kipengele hiki kinahitaji leseni ya Azure AD premium P1.

Privesc

Pata vikundi vinavyoruhusu Uanachama wa Dynamic: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Example

Mfano wa kanuni: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

Maelezo ya kanuni: Mtumiaji yeyote wa Mgeni mwenye barua pepe ya pili yenye maandiko 'tester' ataongezwa kwenye kundi

Nenda kwenye Azure Active Directory -> Watumiaji na bonyeza Unataka kubadilisha tena kwenye orodha ya watumiaji wa zamani? Bonyeza hapa kuondoka kwenye mapitio

Bonyeza kwenye Mtumiaji mpya wa mgeni na walika barua pepe

Wasifu wa mtumiaji uta ongezwa kwenye Azure AD mara tu mwaliko utakapokuwa umetumwa. Fungua wasifu wa mtumiaji na bonyeza (simamia) chini ya Mwaliko umekubaliwa.

Badilisha Rejesha mwaliko? kuwa Ndio na utapata URL ya mwaliko:

Nakili URL na fungua hiyo, ingia kama mtumiaji aliyealikwa na kubali mwaliko

Ingia kwenye cli kama mtumiaji na weka barua pepe ya pili

```powershell
# Login
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Badilisha mipangilio ya OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```