AWS - EKS Post Exploitation

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

EKS

Vir meer inligting, kyk

Enumereer die kluster vanaf die AWS Console

As jy die toestemming eks:AccessKubernetesApi het, kan jy Kubernetes-objekte via die AWS EKS-console bekyk (Leer meer).

Verbinde met AWS Kubernetes Kluster

Maklike manier:

# Generate kubeconfig
aws eks update-kubeconfig --name aws-eks-dev

Nie so maklik nie:

As jy 'n token kan kry met aws eks get-token --name <cluster_name> maar jy het nie toestemming om cluster inligting te kry nie (describeCluster), kan jy jou eie ~/.kube/config voorberei. Maar, met die token, het jy steeds die url eindpunt om mee te verbind (as jy daarin geslaag het om 'n JWT token van 'n pod te kry, lees hier) en die naam van die cluster.

In my geval, het ek nie die inligting in CloudWatch logs gevind nie, maar ek het dit in LaunchTemplates userData gevind en in EC2 masjiene in userData ook. Jy kan hierdie inligting maklik in userData sien, byvoorbeeld in die volgende voorbeeld (die cluster naam was cluster-name):

API_SERVER_URL=https://6253F6CA47F81264D8E16FAA7A103A0D.gr7.us-east-1.eks.amazonaws.com

/etc/eks/bootstrap.sh cluster-name --kubelet-extra-args '--node-labels=eks.amazonaws.com/sourceLaunchTemplateVersion=1,alpha.eksctl.io/cluster-name=cluster-name,alpha.eksctl.io/nodegroup-name=prd-ondemand-us-west-2b,role=worker,eks.amazonaws.com/nodegroup-image=ami-002539dd2c532d0a5,eks.amazonaws.com/capacityType=ON_DEMAND,eks.amazonaws.com/nodegroup=prd-ondemand-us-west-2b,type=ondemand,eks.amazonaws.com/sourceLaunchTemplateId=lt-0f0f0ba62bef782e5 --max-pods=58' --b64-cluster-ca $B64_CLUSTER_CA --apiserver-endpoint $API_SERVER_URL --dns-cluster-ip $K8S_CLUSTER_DNS_IP --use-max-pods false

kube konfig

```yaml describe-cache-parametersapiVersion: v1 clusters: - cluster: certificate-authority-data: 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 server: https://6253F6CA47F81264D8E16FAA7A103A0D.gr7.us-west-2.eks.amazonaws.com name: arn:aws:eks:us-east-1::cluster/ contexts: - context: cluster: arn:aws:eks:us-east-1::cluster/ user: arn:aws:eks:us-east-1::cluster/ name: arn:aws:eks:us-east-1::cluster/ current-context: arn:aws:eks:us-east-1::cluster/ kind: Config preferences: {} users: - name: arn:aws:eks:us-east-1::cluster/ user: exec: apiVersion: client.authentication.k8s.io/v1beta1 args: - --region - us-west-2 - --profile - - eks - get-token - --cluster-name - command: aws env: null interactiveMode: IfAvailable provideClusterInfo: false ```

Van AWS na Kubernetes

Die skepper van die EKS-kluster sal ALTYD in staat wees om in die kubernetes kluster deel van die groep system:masters (k8s admin) te kom. Ten tyde van hierdie skrywe is daar geen direkte manier om te vind wie die kluster geskep het (jy kan CloudTrail nagaan). En daar is geen manier om daardie privilege te verwyder.

Die manier om toegang tot K8s aan meer AWS IAM gebruikers of rolle te verleen, is deur die configmap aws-auth te gebruik.

Daarom sal enige iemand met skryftoegang oor die config map aws-auth in staat wees om die hele kluster te kompromitteer.

Vir meer inligting oor hoe om addisionele privileges aan IAM rolle & gebruikers in die dieselfde of verskillende rekening te verleen en hoe om dit te misbruik, kyk na privesc check this page.

Kyk ook na hierdie wonderlike plasing om te leer hoe die authenticatie IAM -> Kubernetes werk.

Van Kubernetes na AWS

Dit is moontlik om 'n OpenID-authenticatie vir kubernetes diensrekening toe te laat om hulle in staat te stel om rolle in AWS aan te neem. Leer hoe dit werk op hierdie bladsy.

KRY Api Server Eindpunt van 'n JWT Token

https://<cluster-id>.<two-random-chars><number>.<region>.eks.amazonaws.com

Nie enige dokumentasie gevind wat die kriteria vir die 'twee karakters' en die 'nommer' verduidelik nie. Maar deur 'n paar toetse namens myself te doen, sien ek dat hierdie eene herhaaldelik voorkom:

In elk geval is dit net 3 karakters wat ons kan bruteforce. Gebruik die onderstaande skrip om die lys te genereer.

from itertools import product
from string import ascii_lowercase

letter_combinations = product('abcdefghijklmnopqrstuvwxyz', repeat = 2)
number_combinations = product('0123456789', repeat = 1)

result = [
f'{''.join(comb[0])}{comb[1][0]}'
for comb in product(letter_combinations, number_combinations)
]

with open('out.txt', 'w') as f:
f.write('\n'.join(result))

Dan met wfuzz

wfuzz -Z -z file,out.txt --hw 0 https://<cluster-id>.FUZZ.<region>.eks.amazonaws.com

Onthou om te vervang & .

Om CloudTrail te omseil

As 'n aanvaller die akrediteer van 'n AWS met toestemming oor 'n EKS verkry. As die aanvaller sy eie kubeconfig (sonder om update-kubeconfig te noem) soos voorheen verduidelik, genereer die get-token nie logs in Cloudtrail nie omdat dit nie met die AWS API kommunikeer nie (dit skep net die token plaaslik).

So wanneer die aanvaller met die EKS-kluster praat, sal cloudtrail niks log wat verband hou met die gebruiker wat gesteel is en toegang daartoe het nie.

Let daarop dat die EKS-kluster dalk logs geaktiveer het wat hierdie toegang sal log (alhoewel dit standaard gedeaktiveer is).

EKS Losprys?

Standaard het die gebruiker of rol wat 'n kluster geskep het ALTYD administratiewe regte oor die kluster. En dit is die enigste "veilige" toegang wat AWS oor die Kubernetes-kluster sal hê.

So, as 'n aanvaller 'n kluster met fargate kompromitteer en alle ander administrateurs verwyder en die AWS gebruiker/rol wat die Kluster geskep het, verwyder, ~~kan die aanvaller die~~ ~~kluster gehuurde~~r.

Let daarop dat as die kluster EC2 VM's gebruik, dit moontlik kan wees om Administratiewe regte van die Node te verkry en die kluster te herstel.

Werklik, as die kluster Fargate gebruik, kan jy EC2 nodes of alles na EC2 na die kluster skuif en dit herstel deur toegang tot die tokens in die node.

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PR's in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousAWS - EFS Post Exploitation NextAWS - Elastic Beanstalk Post Exploitation

Last updated 3 days ago