AWS - EKS Post Exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

EKS

Για περισσότερες πληροφορίες ελέγξτε

AWS - EKS Enum

Enumerate the cluster from the AWS Console

Εάν έχετε την άδεια eks:AccessKubernetesApi μπορείτε να δείτε τα αντικείμενα Kubernetes μέσω της κονσόλας AWS EKS (Μάθετε περισσότερα).

Connect to AWS Kubernetes Cluster

Easy way:

# Generate kubeconfig
aws eks update-kubeconfig --name aws-eks-dev

Όχι τόσο εύκολος τρόπος:

Αν μπορείτε να πάρετε ένα token με aws eks get-token --name <cluster_name> αλλά δεν έχετε δικαιώματα για να πάρετε πληροφορίες για το cluster (describeCluster), μπορείτε να ετοιμάσετε το δικό σας ~/.kube/config. Ωστόσο, έχοντας το token, χρειάζεστε ακόμα το url endpoint για να συνδεθείτε (αν καταφέρατε να πάρετε ένα JWT token από ένα pod διαβάστε εδώ) και το όνομα του cluster.

Στην περίπτωσή μου, δεν βρήκα τις πληροφορίες στα CloudWatch logs, αλλά τις βρήκα στα LaunchTemplates userData και σε μηχανές EC2 στο userData επίσης. Μπορείτε να δείτε αυτές τις πληροφορίες στο userData εύκολα, για παράδειγμα στο επόμενο παράδειγμα (το όνομα του cluster ήταν cluster-name):

API_SERVER_URL=https://6253F6CA47F81264D8E16FAA7A103A0D.gr7.us-east-1.eks.amazonaws.com

/etc/eks/bootstrap.sh cluster-name --kubelet-extra-args '--node-labels=eks.amazonaws.com/sourceLaunchTemplateVersion=1,alpha.eksctl.io/cluster-name=cluster-name,alpha.eksctl.io/nodegroup-name=prd-ondemand-us-west-2b,role=worker,eks.amazonaws.com/nodegroup-image=ami-002539dd2c532d0a5,eks.amazonaws.com/capacityType=ON_DEMAND,eks.amazonaws.com/nodegroup=prd-ondemand-us-west-2b,type=ondemand,eks.amazonaws.com/sourceLaunchTemplateId=lt-0f0f0ba62bef782e5 --max-pods=58' --b64-cluster-ca $B64_CLUSTER_CA --apiserver-endpoint $API_SERVER_URL --dns-cluster-ip $K8S_CLUSTER_DNS_IP --use-max-pods false

kube config

```yaml describe-cache-parametersapiVersion: v1 clusters: - cluster: certificate-authority-data: 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 server: https://6253F6CA47F81264D8E16FAA7A103A0D.gr7.us-west-2.eks.amazonaws.com name: arn:aws:eks:us-east-1::cluster/ contexts: - context: cluster: arn:aws:eks:us-east-1::cluster/ user: arn:aws:eks:us-east-1::cluster/ name: arn:aws:eks:us-east-1::cluster/ current-context: arn:aws:eks:us-east-1::cluster/ kind: Config preferences: {} users: - name: arn:aws:eks:us-east-1::cluster/ user: exec: apiVersion: client.authentication.k8s.io/v1beta1 args: - --region - us-west-2 - --profile - - eks - get-token - --cluster-name - command: aws env: null interactiveMode: IfAvailable provideClusterInfo: false ```

Από το AWS στο Kubernetes

Ο δημιουργός του EKS cluster θα είναι ΠΑΝΤΑ σε θέση να εισέλθει στο μέρος του kubernetes cluster της ομάδας system:masters (k8s admin). Στη στιγμή που γράφεται αυτό το κείμενο, δεν υπάρχει άμεσος τρόπος να βρείτε ποιος δημιούργησε το cluster (μπορείτε να ελέγξετε το CloudTrail). Και δεν υπάρχει τρόπος να αφαιρεθεί αυτό το προνόμιο.

Ο τρόπος για να παραχωρήσετε πρόσβαση σε περισσότερους χρήστες ή ρόλους AWS IAM στο K8s είναι χρησιμοποιώντας το configmap aws-auth.

Επομένως, οποιοσδήποτε έχει δικαίωμα εγγραφής πάνω στο config map aws-auth θα είναι σε θέση να συμβιβάσει ολόκληρο το cluster.

Για περισσότερες πληροφορίες σχετικά με το πώς να παραχωρήσετε επιπλέον προνόμια σε ρόλους & χρήστες IAM στην ίδια ή διαφορετική λογαριασμό και πώς να καταχραστείτε αυτό για privesc ελέγξτε αυτή τη σελίδα.

Ελέγξτε επίσης αυτή την καταπληκτική ανάρτηση για να μάθετε πώς λειτουργεί η αυθεντικοποίηση IAM -> Kubernetes.

Από το Kubernetes στο AWS

Είναι δυνατόν να επιτραπεί μια αυθεντικοποίηση OpenID για λογαριασμό υπηρεσίας kubernetes ώστε να μπορούν να αναλαμβάνουν ρόλους στο AWS. Μάθετε πώς λειτουργεί σε αυτή τη σελίδα.

Λάβετε το Api Server Endpoint από ένα JWT Token

Αποκωδικοποιώντας το JWT token, αποκτούμε το cluster id & επίσης την περιοχή. Γνωρίζοντας ότι η τυπική μορφή για το EKS url είναι

https://<cluster-id>.<two-random-chars><number>.<region>.eks.amazonaws.com

Δεν βρήκα καμία τεκμηρίωση που να εξηγεί τα κριτήρια για τους 'δύο χαρακτήρες' και τον 'αριθμό'. Αλλά κάνοντας μερικές δοκιμές εκ μέρους μου, βλέπω ότι επαναλαμβάνονται οι εξής:

Ούτως ή άλλως, είναι μόνο 3 χαρακτήρες που μπορούμε να τους brute force. Χρησιμοποιήστε το παρακάτω σενάριο για να δημιουργήσετε τη λίστα.

from itertools import product
from string import ascii_lowercase

letter_combinations = product('abcdefghijklmnopqrstuvwxyz', repeat = 2)
number_combinations = product('0123456789', repeat = 1)

result = [
f'{''.join(comb[0])}{comb[1][0]}'
for comb in product(letter_combinations, number_combinations)
]

with open('out.txt', 'w') as f:
f.write('\n'.join(result))

Τότε με το wfuzz

wfuzz -Z -z file,out.txt --hw 0 https://<cluster-id>.FUZZ.<region>.eks.amazonaws.com

Θυμηθείτε να αντικαταστήσετε & .

Παράκαμψη CloudTrail

Εάν ένας επιτιθέμενος αποκτήσει διαπιστευτήρια ενός AWS με δικαιώματα σε ένα EKS. Εάν ο επιτιθέμενος ρυθμίσει το δικό του kubeconfig (χωρίς να καλέσει update-kubeconfig) όπως εξηγήθηκε προηγουμένως, το get-token δεν δημιουργεί καταγραφές στο Cloudtrail επειδή δεν αλληλεπιδρά με το AWS API (απλώς δημιουργεί το token τοπικά).

Έτσι, όταν ο επιτιθέμενος επικοινωνεί με το EKS cluster, το cloudtrail δεν θα καταγράψει τίποτα σχετικό με τον χρήστη που έχει κλαπεί και την πρόσβαση σε αυτό.

Σημειώστε ότι το EKS cluster μπορεί να έχει ενεργοποιημένες καταγραφές που θα καταγράψουν αυτή την πρόσβαση (αν και, από προεπιλογή, είναι απενεργοποιημένες).

EKS Λύτρα;

Από προεπιλογή, ο χρήστης ή ο ρόλος που δημιούργησε ένα cluster έχει ΠΑΝΤΑ δικαιώματα διαχειριστή πάνω στο cluster. Και ότι η μόνη "ασφαλής" πρόσβαση που θα έχει το AWS πάνω στο Kubernetes cluster.

Έτσι, εάν ένας επιτιθέμενος παραβιάσει ένα cluster χρησιμοποιώντας fargate και αφαιρέσει όλους τους άλλους διαχειριστές και διαγράψει τον χρήστη/ρόλο AWS που δημιούργησε το Cluster, ~~ο επιτιθέμενος θα μπορούσε να έχει~~ ~~ζητήσει λύτρα για το cluster~~.

Σημειώστε ότι εάν το cluster χρησιμοποιούσε EC2 VMs, θα μπορούσε να είναι δυνατό να αποκτήσετε δικαιώματα διαχειριστή από το Node και να ανακτήσετε το cluster.

Στην πραγματικότητα, εάν το cluster χρησιμοποιεί Fargate, θα μπορούσατε να μεταφέρετε EC2 nodes ή να μεταφέρετε τα πάντα σε EC2 στο cluster και να το ανακτήσετε αποκτώντας πρόσβαση στα tokens στο node.

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAWS - EFS Post Exploitation NextAWS - Elastic Beanstalk Post Exploitation

Last updated 3 days ago