Az - Dynamic Groups Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Основна Інформація

Динамічні групи — це групи, які мають набір правил, і всі користувачі або пристрої, що відповідають цим правилам, додаються до групи. Кожного разу, коли атрибут користувача або пристрою змінюється, динамічні правила перевіряються знову. І коли створюється нове правило, всі пристрої та користувачі перевіряються.

Динамічні групи можуть мати призначені ролі Azure RBAC, але неможливо додати ролі AzureAD до динамічних груп.

Ця функція вимагає ліцензії Azure AD premium P1.

Privesc

Зверніть увагу, що за замовчуванням будь-який користувач може запрошувати гостей в Azure AD, тому, якщо правило динамічної групи надає дозволи користувачам на основі атрибутів, які можуть бути встановлені у нового гостя, можливо створити гостя з цими атрибутами та ескалювати привілеї. Також можливо, щоб гість керував своїм профілем і змінював ці атрибути.

Отримати групи, які дозволяють динамічне членство: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Приклад

Приклад правила: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Опис правила: Будь-який гість з вторинною електронною поштою, що містить рядок 'tester', буде доданий до групи

Перейдіть до Azure Active Directory -> Користувачі та натисніть на Want to switch back to the legacy users list experience? Click here to leave the preview
Натисніть на New guest user та запросіть електронну пошту
Профіль користувача буде додано до Azure AD, як тільки запрошення буде надіслано. Відкрийте профіль користувача та натисніть на (управління) під Запрошення прийнято.

Змініть Resend invite? на Так і ви отримаєте URL запрошення:

Скопіюйте URL та відкрийте його, увійдіть як запрошений користувач і прийміть запрошення
Увійдіть в cli як користувач і встановіть вторинну електронну пошту

```powershell
# Вхід
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Змінити налаштування OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```

Посилання

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

PreviousAz - Conditional Access Policies / MFA Bypass NextDigital Ocean Pentesting

Last updated 3 days ago

Основна Інформація

Динамічні групи можуть мати призначені ролі Azure RBAC, але неможливо додати ролі AzureAD до динамічних груп.

Ця функція вимагає ліцензії Azure AD premium P1.

Privesc

Отримати групи, які дозволяють динамічне членство: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Приклад

Приклад правила: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

Опис правила: Будь-який гість з вторинною електронною поштою, що містить рядок 'tester', буде доданий до групи

Перейдіть до Azure Active Directory -> Користувачі та натисніть на Want to switch back to the legacy users list experience? Click here to leave the preview

Натисніть на New guest user та запросіть електронну пошту

Профіль користувача буде додано до Azure AD, як тільки запрошення буде надіслано. Відкрийте профіль користувача та натисніть на (управління) під Запрошення прийнято.

Змініть Resend invite? на Так і ви отримаєте URL запрошення:

Скопіюйте URL та відкрийте його, увійдіть як запрошений користувач і прийміть запрошення

Увійдіть в cli як користувач і встановіть вторинну електронну пошту

```powershell
# Вхід
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Змінити налаштування OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```