GCP - Container Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

container

`container.clusters.get`

이 권한은 Kubernetes 클러스터에 대한 자격 증명을 수집할 수 있게 해줍니다.

gcloud container clusters get-credentials <cluster_name> --zone <zone>

추가 권한 없이 자격 증명은 기본적이며 일부 리소스를 나열할 수 있습니다, 그러나 이는 환경에서 잘못 구성된 부분을 찾는 데 유용합니다.

쿠버네티스 클러스터가 비공식적으로 구성될 수 있다는 점에 유의하세요, 이는 인터넷에서 Kube-API 서버에 대한 접근을 허용하지 않습니다.

이 권한이 없더라도 클러스터에 접근할 수 있지만, 클러스터 정보를 포함한 자신의 kubectl 구성 파일을 생성해야 합니다. 새로 생성된 파일은 다음과 같습니다:

apiVersion: v1
clusters:
- cluster:
certificate-authority-data: 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
server: https://34.123.141.28
name: gke_security-devbox_us-central1_autopilot-cluster-1
contexts:
- context:
cluster: gke_security-devbox_us-central1_autopilot-cluster-1
user: gke_security-devbox_us-central1_autopilot-cluster-1
name: gke_security-devbox_us-central1_autopilot-cluster-1
current-context: gke_security-devbox_us-central1_autopilot-cluster-1
kind: Config
preferences: {}
users:
- name: gke_security-devbox_us-central1_autopilot-cluster-1
user:
auth-provider:
config:
access-token: <access token>
cmd-args: config config-helper --format=json
cmd-path: gcloud
expiry: "2022-12-06T01:13:11Z"
expiry-key: '{.credential.token_expiry}'
token-key: '{.credential.access_token}'
name: gcp

`container.roles.escalate` | `container.clusterRoles.escalate`

Kubernetes는 기본적으로 주체가 더 많은 권한을 가진 Roles 및 ClusterRoles를 생성하거나 업데이트하는 것을 방지합니다. 그러나 해당 권한을 가진 GCP 주체는 자신이 가진 것보다 더 많은 권한을 가진 Roles/ClusterRoles를 생성/업데이트할 수 있어, 이 행동에 대한 Kubernetes 보호를 효과적으로 우회할 수 있습니다.

container.roles.create 및/또는 container.roles.update 또는 container.clusterRoles.create 및/또는 **container.clusterRoles.update**는 각각 이러한 권한 상승 작업을 수행하는 데 필요합니다.

`container.roles.bind` | `container.clusterRoles.bind`

Kubernetes는 기본적으로 주체가 더 많은 권한을 가진 RoleBindings 및 ClusterRoleBindings를 생성하거나 업데이트하는 것을 방지합니다. 그러나 해당 권한을 가진 GCP 주체는 자신이 가진 것보다 더 많은 권한을 가진 RolesBindings/ClusterRolesBindings를 생성/업데이트할 수 있어, 이 행동에 대한 Kubernetes 보호를 효과적으로 우회할 수 있습니다.

container.roleBindings.create 및/또는 container.roleBindings.update 또는 container.clusterRoleBindings.create 및/또는 **container.clusterRoleBindings.update**는 각각 이러한 권한 상승 작업을 수행하는 데 필요합니다.

`container.cronJobs.create` | `container.cronJobs.update` | `container.daemonSets.create` | `container.daemonSets.update` | `container.deployments.create` | `container.deployments.update` | `container.jobs.create` | `container.jobs.update` | `container.pods.create` | `container.pods.update` | `container.replicaSets.create` | `container.replicaSets.update` | `container.replicationControllers.create` | `container.replicationControllers.update` | `container.scheduledJobs.create` | `container.scheduledJobs.update` | `container.statefulSets.create` | `container.statefulSets.update`

이 모든 권한은 리소스를 생성하거나 업데이트할 수 있게 해주며, 여기서 pod를 정의할 수 있습니다. pod를 정의함으로써 SA를 첨부하고 실행할 이미지를 지정할 수 있으므로, SA의 토큰을 서버로 유출하는 이미지를 실행할 수 있어, 모든 서비스 계정으로 권한을 상승시킬 수 있습니다. 자세한 정보는 확인하세요:

GCP 환경에 있으므로, 메타데이터 서비스에서 nodepool GCP SA를 가져오고 GCP에서 권한을 상승시킬 수 있습니다 (기본적으로 컴퓨트 SA가 사용됩니다).

`container.secrets.get` | `container.secrets.list`

이 페이지에서 설명한 바와 같이, 이 권한을 통해 kubernetes의 모든 SA의 토큰을 읽을 수 있어, 이들로 권한을 상승시킬 수 있습니다.

`container.pods.exec`

이 권한을 통해 pod에 exec할 수 있어, Kubernetes SAs에 접근하여 K8s 내에서 권한을 상승시킬 수 있으며, 또한 NodePool의 GCP 서비스 계정을 탈취하여 GCP에서 권한을 상승시킬 수 있습니다.

`container.pods.portForward`

이 페이지에서 설명한 바와 같이, 이 권한을 통해 pod에서 실행 중인 로컬 서비스에 접근할 수 있어, Kubernetes에서 권한을 상승시킬 수 있습니다 (그리고 GCP에서 메타데이터 서비스와 통신할 수 있다면).

`container.serviceAccounts.createToken`

권한의 이름 때문에, K8s 서비스 계정의 토큰을 생성할 수 있을 것처럼 보입니다. 따라서 Kubernetes 내의 모든 SA로 권한 상승할 수 있습니다. 그러나 이를 사용할 API 엔드포인트를 찾을 수 없으니, 찾으면 알려주세요.

`container.mutatingWebhookConfigurations.create` | `container.mutatingWebhookConfigurations.update`

이 권한은 Kubernetes에서 권한을 상승시킬 수 있지만, 더 가능성이 높은 것은 클러스터에 지속적으로 존재하기 위해 악용할 수 있습니다. 자세한 정보는 이 링크를 따라가세요.

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousGCP - Composer Privesc NextGCP - Deploymentmaneger Privesc

Last updated 1 month ago

container

container.clusters.get

container.roles.escalate | container.clusterRoles.escalate

container.roles.bind | container.clusterRoles.bind

container.secrets.get | container.secrets.list

container.pods.exec

container.pods.portForward

container.serviceAccounts.createToken

container.mutatingWebhookConfigurations.create | container.mutatingWebhookConfigurations.update