Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
container.clusters.getTo uprawnienie pozwala na zbieranie poświadczeń dla klastra Kubernetes przy użyciu czegoś takiego jak:
Bez dodatkowych uprawnień, poświadczenia są dość podstawowe, ponieważ możesz po prostu wylistować niektóre zasoby, ale są przydatne do znajdowania błędów w konfiguracji w środowisku.
Zauważ, że klastry kubernetes mogą być skonfigurowane jako prywatne, co uniemożliwi dostęp do serwera Kube-API z Internetu.
Jeśli nie masz tych uprawnień, nadal możesz uzyskać dostęp do klastra, ale musisz utworzyć własny plik konfiguracyjny kubectl z informacjami o klastrach. Nowo wygenerowany plik wygląda tak:
container.roles.escalate | container.clusterRoles.escalateKubernetes domyślnie zapobiega temu, aby podmioty mogły tworzyć lub aktualizować Role i ClusterRoles z większymi uprawnieniami niż te, które posiada podmiot. Jednak podmiot GCP z tymi uprawnieniami będzie mógł tworzyć/aktualizować Role/ClusterRoles z większymi uprawnieniami niż te, które posiada, skutecznie omijając ochronę Kubernetes przed tym zachowaniem.
container.roles.create i/lub container.roles.update LUB container.clusterRoles.create i/lub container.clusterRoles.update są również konieczne do wykonania tych działań eskalacji uprawnień.
container.roles.bind | container.clusterRoles.bindKubernetes domyślnie zapobiega temu, aby podmioty mogły tworzyć lub aktualizować RoleBindings i ClusterRoleBindings, aby nadać więcej uprawnień niż te, które posiada podmiot. Jednak podmiot GCP z tymi uprawnieniami będzie mógł tworzyć/aktualizować RoleBindings/ClusterRolesBindings z większymi uprawnieniami niż te, które posiada, skutecznie omijając ochronę Kubernetes przed tym zachowaniem.
container.roleBindings.create i/lub container.roleBindings.update LUB container.clusterRoleBindings.create i/lub container.clusterRoleBindings.update są również konieczne do wykonania tych działań eskalacji uprawnień.
container.cronJobs.create | container.cronJobs.update | container.daemonSets.create | container.daemonSets.update | container.deployments.create | container.deployments.update | container.jobs.create | container.jobs.update | container.pods.create | container.pods.update | container.replicaSets.create | container.replicaSets.update | container.replicationControllers.create | container.replicationControllers.update | container.scheduledJobs.create | container.scheduledJobs.update | container.statefulSets.create | container.statefulSets.updateWszystkie te uprawnienia pozwolą ci tworzyć lub aktualizować zasób, w którym możesz zdefiniować pod. Definiując pod, możesz określić SA, który będzie przypisany oraz obraz, który będzie uruchamiany, dzięki czemu możesz uruchomić obraz, który wyeksfiltruje token SA na twój serwer, umożliwiając ci eskalację do dowolnego konta serwisowego. Aby uzyskać więcej informacji, sprawdź:
Ponieważ jesteśmy w środowisku GCP, będziesz również mógł uzyskać SA nodepool GCP z usługi metadata i eskalować uprawnienia w GCP (domyślnie używany jest SA compute).
container.secrets.get | container.secrets.listJak wyjaśniono na tej stronie, z tymi uprawnieniami możesz czytać tokeny wszystkich SA Kubernetes, więc możesz się do nich eskalować.
container.pods.execDzięki temu uprawnieniu będziesz mógł wykonać polecenie w podach, co daje ci dostęp do wszystkich SA Kubernetes działających w podach, aby eskalować uprawnienia w K8s, ale także będziesz mógł ukraść GCP Service Account z NodePool, eskalując uprawnienia w GCP.
container.pods.portForwardJak wyjaśniono na tej stronie, z tymi uprawnieniami możesz uzyskać dostęp do lokalnych usług działających w podach, co może pozwolić ci eskalować uprawnienia w Kubernetes (i w GCP, jeśli w jakiś sposób uda ci się skontaktować z usługą metadata).
container.serviceAccounts.createTokenZ powodu nazwa uprawnienia, wydaje się, że pozwoli ci to generować tokeny K8s Service Accounts, więc będziesz mógł eskalować do dowolnego SA wewnątrz Kubernetes. Jednak nie mogłem znaleźć żadnego punktu końcowego API, aby go użyć, więc daj mi znać, jeśli go znajdziesz.
container.mutatingWebhookConfigurations.create | container.mutatingWebhookConfigurations.updateTe uprawnienia mogą pozwolić ci na eskalację uprawnień w Kubernetes, ale bardziej prawdopodobne jest, że możesz je wykorzystać do utrzymania się w klastrze. Aby uzyskać więcej informacji, śledź ten link.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
