AWS - EKS Post Exploitation

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

EKS

Daha fazla bilgi için kontrol edin

AWS - EKS Enum

AWS Konsolundan küme bilgilerini listeleme

Eğer eks:AccessKubernetesApi iznine sahipseniz, AWS EKS konsolu aracılığıyla Kubernetes nesnelerini görüntüleyebilirsiniz (Daha fazla bilgi edinin).

AWS Kubernetes Kümesine Bağlanma

Kolay yol:

# Generate kubeconfig
aws eks update-kubeconfig --name aws-eks-dev

Kolay bir yol değil:

Eğer aws eks get-token --name <cluster_name> ile bir token alabiliyorsanız ama cluster bilgilerini (describeCluster) almak için izinleriniz yoksa, kendi ~/.kube/config dosyanızı hazırlayabilirsiniz. Ancak, token'a sahip olsanız bile, bağlanmak için url endpoint'e ihtiyacınız var (eğer bir pod'dan JWT token aldıysanız buradan okuyun) ve cluster'ın adına ihtiyacınız var.

Benim durumumda, CloudWatch loglarında bilgiyi bulamadım, ama LaunchTemplates userData'da ve EC2 makinelerinde userData'da buldum. Bu bilgiyi userData içinde kolayca görebilirsiniz, örneğin bir sonraki örnekte (cluster adı cluster-name idi):

API_SERVER_URL=https://6253F6CA47F81264D8E16FAA7A103A0D.gr7.us-east-1.eks.amazonaws.com

/etc/eks/bootstrap.sh cluster-name --kubelet-extra-args '--node-labels=eks.amazonaws.com/sourceLaunchTemplateVersion=1,alpha.eksctl.io/cluster-name=cluster-name,alpha.eksctl.io/nodegroup-name=prd-ondemand-us-west-2b,role=worker,eks.amazonaws.com/nodegroup-image=ami-002539dd2c532d0a5,eks.amazonaws.com/capacityType=ON_DEMAND,eks.amazonaws.com/nodegroup=prd-ondemand-us-west-2b,type=ondemand,eks.amazonaws.com/sourceLaunchTemplateId=lt-0f0f0ba62bef782e5 --max-pods=58' --b64-cluster-ca $B64_CLUSTER_CA --apiserver-endpoint $API_SERVER_URL --dns-cluster-ip $K8S_CLUSTER_DNS_IP --use-max-pods false

kube yapılandırması

```yaml describe-cache-parametersapiVersion: v1 clusters: - cluster: certificate-authority-data: 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 server: https://6253F6CA47F81264D8E16FAA7A103A0D.gr7.us-west-2.eks.amazonaws.com name: arn:aws:eks:us-east-1::cluster/ contexts: - context: cluster: arn:aws:eks:us-east-1::cluster/ user: arn:aws:eks:us-east-1::cluster/ name: arn:aws:eks:us-east-1::cluster/ current-context: arn:aws:eks:us-east-1::cluster/ kind: Config preferences: {} users: - name: arn:aws:eks:us-east-1::cluster/ user: exec: apiVersion: client.authentication.k8s.io/v1beta1 args: - --region - us-west-2 - --profile - - eks - get-token - --cluster-name - command: aws env: null interactiveMode: IfAvailable provideClusterInfo: false ```

AWS'den Kubernetes'e

EKS kümesinin yaratıcısı, grubun system:masters (k8s admin) kısmına HER ZAMAN girebilecektir. Bu yazının yazıldığı sırada kümenin kim tarafından oluşturulduğunu bulmanın doğrudan bir yolu yoktur (CloudTrail'i kontrol edebilirsiniz). Ve bu yetkiyi kaldırmanın yolu yoktur.

AWS IAM kullanıcıları veya rolleri için K8s'e erişim vermenin yolu aws-auth configmap'ini kullanmaktır.

Bu nedenle, aws-auth config map'inde yazma erişimi olan herkes tüm kümeyi tehlikeye atabilecektir.

Aynı veya farklı hesaplarda IAM rolleri ve kullanıcılara ek yetkiler vermek ve bunu nasıl istismar edeceğiniz hakkında daha fazla bilgi için bu sayfayı kontrol edin.

Ayrıca bu harika yazıyı kontrol edin, IAM -> Kubernetes kimlik doğrulamasının nasıl çalıştığını öğrenin.

Kubernetes'ten AWS'ye

Kubernetes hizmet hesabı için OpenID kimlik doğrulamasını sağlamak, onların AWS'de roller üstlenmelerine izin vermek mümkündür. Bu sayfada nasıl çalıştığını öğrenin.

JWT Token'dan Api Sunucu Uç Noktasını Almak

https://<cluster-id>.<two-random-chars><number>.<region>.eks.amazonaws.com

Dokümantasyonda 'iki karakter' ve 'sayı' için kriterleri açıklayan bir şey bulamadım. Ancak kendi adıma bazı testler yaparak şunların tekrar ettiğini görüyorum:

Her halükarda, sadece 3 karakter var, bunları brute force ile kırabiliriz. Listeyi oluşturmak için aşağıdaki scripti kullanın.

from itertools import product
from string import ascii_lowercase

letter_combinations = product('abcdefghijklmnopqrstuvwxyz', repeat = 2)
number_combinations = product('0123456789', repeat = 1)

result = [
f'{''.join(comb[0])}{comb[1][0]}'
for comb in product(letter_combinations, number_combinations)
]

with open('out.txt', 'w') as f:
f.write('\n'.join(result))

Sonra wfuzz ile

wfuzz -Z -z file,out.txt --hw 0 https://<cluster-id>.FUZZ.<region>.eks.amazonaws.com

Unutmayın, & ile değiştirin.

CloudTrail'ı Atlatma

Eğer bir saldırganın EKS üzerinde yetkisi olan bir AWS kimlik bilgilerini elde ederse. Eğer saldırgan daha önce açıklandığı gibi kendi kubeconfig dosyasını ( update-kubeconfig çağrısı yapmadan) yapılandırırsa, get-token Cloudtrail'de log oluşturmaz çünkü AWS API'si ile etkileşime geçmez (sadece token'ı yerel olarak oluşturur).

Bu nedenle, saldırgan EKS kümesi ile konuştuğunda, cloudtrail çalınan kullanıcı ile ilgili hiçbir şeyi loglamayacaktır.

EKS kümesinin bu erişimi loglayacak logları etkinleştirilmiş olabileceğini unutmayın (ancak varsayılan olarak devre dışıdır).

EKS Fidye?

Varsayılan olarak, bir küme oluşturan kullanıcı veya rol her zaman küme üzerinde yönetici ayrıcalıklarına sahip olacaktır. Ve AWS'nin Kubernetes kümesine sahip olacağı tek "güvenli" erişim budur.

Yani, eğer bir saldırgan fargate kullanarak bir kümeyi ele geçirirse ve diğer tüm yöneticileri kaldırırsa ve Küme'yi oluşturan AWS kullanıcı/rolünü silerse, ~~saldırgan~~ ~~küme için fidye talep edebilir~~**.

Eğer küme EC2 VM'leri kullanıyorsa, Node üzerinden Yönetici ayrıcalıkları almak ve kümeyi kurtarmak mümkün olabilir.

Aslında, eğer küme Fargate kullanıyorsa, EC2 düğümlerini alabilir veya her şeyi EC2'ye taşıyabilir ve düğümdeki token'lara erişerek kurtarabilirsiniz.

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAWS - EFS Post Exploitation NextAWS - Elastic Beanstalk Post Exploitation

Last updated 3 days ago