Az - Dynamic Groups Privesc

基本信息

动态组是配置了一组规则的组，所有符合规则的用户或设备都会被添加到该组。每当用户或设备的属性被更改时，动态规则会被重新检查。当新规则被创建时，所有设备和用户都会被检查。

动态组可以被分配Azure RBAC 角色，但无法将AzureAD 角色添加到动态组。

此功能需要 Azure AD Premium P1 许可证。

权限提升

请注意，默认情况下，任何用户都可以在 Azure AD 中邀请访客，因此，如果动态组的规则根据可以在新访客中设置的属性授予用户权限，则可以创建具有这些属性的访客并提升权限。访客也可以管理自己的个人资料并更改这些属性。

获取允许动态成员资格的组：Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

示例

• 规则示例：(user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

• 规则描述：任何具有字符串 'tester' 的次要电子邮件的访客用户将被添加到该组

1. 转到 Azure Active Directory -> 用户，并点击 想要切换回旧版用户列表体验吗？点击这里退出预览

2. 点击 新建访客用户 并邀请一个电子邮件

3. 一旦邀请发送，用户的个人资料将被添加到 Azure AD。打开用户的个人资料并点击在邀请接受下的 (管理)。

4. 将 重新发送邀请？ 更改为 是，您将获得一个邀请 URL：

5. 复制 URL 并打开它，以被邀请用户身份登录并接受邀请

6. 以用户身份登录 CLI 并设置次要电子邮件

```powershell
# 登录
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# 更改 OtherMails 设置
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```

参考文献

• https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/