Az - Dynamic Groups Privesc

基本信息

动态组是配置了一组规则的组，所有符合规则的用户或设备都会被添加到组中。每当用户或设备的属性发生变化时，动态规则会被重新检查。当新规则被创建时，所有设备和用户都会被检查。

动态组可以分配Azure RBAC 角色，但无法将AzureAD 角色添加到动态组中。

此功能需要 Azure AD premium P1 许可证。

权限提升

请注意，默认情况下，任何用户都可以在 Azure AD 中邀请访客，因此，如果动态组规则基于可以在新访客中设置的属性授予用户权限，则可以创建一个具有这些属性的访客并提升权限。访客也可以管理自己的个人资料并更改这些属性。

获取允许动态成员资格的组：Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

示例

• 规则示例: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

• 规则描述: 任何具有包含字符串 'tester' 的次要电子邮件的访客用户将被添加到组中

1. 进入 Azure Active Directory -> Users 并点击 Want to switch back to the legacy users list experience? Click here to leave the preview

2. 点击 New guest user 并邀请一个电子邮件

3. 邀请发送后，用户的个人资料将被添加到 Azure AD。打开用户的个人资料并点击 (manage) under Invitation accepted。

4. 将 Resend invite? 更改为 Yes，你将获得一个邀请 URL：

5. 复制URL并打开它，以被邀请用户身份登录并接受邀请

6. 以用户身份在 cli 中登录并设置次要电子邮件

# 登录
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# 更改 OtherMails 设置
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose

参考资料

• https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/