GCP - Container Privesc

学习并练习AWS黑客技术：HackTricks培训AWS红队专家（ARTE） 学习并练习GCP黑客技术：HackTricks培训GCP红队专家（GRTE）

支持HackTricks

查看订阅计划!
加入 💬 Discord群组 或 电报群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享黑客技巧。

container

`container.clusters.get`

此权限允许使用类似以下方式收集Kubernetes集群的凭据：

gcloud container clusters get-credentials <cluster_name> --zone <zone>

没有额外权限的情况下，凭证相当基本，你只能列出一些资源，但它们对于发现环境中的配置错误很有用。

请注意，Kubernetes 集群可能配置为私有，这将阻止从互联网访问 Kube-API 服务器。

如果你没有这个权限，仍然可以访问集群，但需要创建自己的 kubectl 配置文件，其中包含集群信息。一个新生成的配置文件如下所示：

apiVersion: v1
clusters:
- cluster:
certificate-authority-data: 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
server: https://34.123.141.28
name: gke_security-devbox_us-central1_autopilot-cluster-1
contexts:
- context:
cluster: gke_security-devbox_us-central1_autopilot-cluster-1
user: gke_security-devbox_us-central1_autopilot-cluster-1
name: gke_security-devbox_us-central1_autopilot-cluster-1
current-context: gke_security-devbox_us-central1_autopilot-cluster-1
kind: Config
preferences: {}
users:
- name: gke_security-devbox_us-central1_autopilot-cluster-1
user:
auth-provider:
config:
access-token: <access token>
cmd-args: config config-helper --format=json
cmd-path: gcloud
expiry: "2022-12-06T01:13:11Z"
expiry-key: '{.credential.token_expiry}'
token-key: '{.credential.access_token}'
name: gcp

`container.roles.escalate` | `container.clusterRoles.escalate`

Kubernetes默认情况下阻止主体能够创建或更新具有比主体拥有的权限更多的Roles和ClusterRoles。然而，具有该权限的GCP主体将能够创建/更新具有比其拥有的权限更多的Roles/ClusterRoles，有效地绕过Kubernetes对此行为的保护。

container.roles.create和/或container.roles.update或container.clusterRoles.create和/或container.clusterRoles.update也是执行这些特权升级操作所必需的。

`container.roles.bind` | `container.clusterRoles.bind`

Kubernetes默认情况下阻止主体能够创建或更新RoleBindings和ClusterRoleBindings以赋予比主体拥有的权限更多的权限。然而，具有该权限的GCP主体将能够创建/更新具有比其拥有的权限更多的RolesBindings/ClusterRolesBindings，有效地绕过Kubernetes对此行为的保护。

container.roleBindings.create和/或container.roleBindings.update或container.clusterRoleBindings.create和/或container.clusterRoleBindings.update也是执行这些特权升级操作所必需的。

`container.cronJobs.create` | `container.cronJobs.update` | `container.daemonSets.create` | `container.daemonSets.update` | `container.deployments.create` | `container.deployments.update` | `container.jobs.create` | `container.jobs.update` | `container.pods.create` | `container.pods.update` | `container.replicaSets.create` | `container.replicaSets.update` | `container.replicationControllers.create` | `container.replicationControllers.update` | `container.scheduledJobs.create` | `container.scheduledJobs.update` | `container.statefulSets.create` | `container.statefulSets.update`

所有这些权限将允许您创建或更新资源，在其中您可以定义一个pod。通过定义一个pod，您可以指定将要附加的SA和将要运行的镜像，因此您可以运行一个将将SA的令牌外泄到您的服务器的镜像，从而使您能够升级到任何服务帐户。有关更多信息，请查看：

由于我们处于GCP环境中，您还将能够从元数据服务中获取节点池GCP SA并在GC中提升权限（默认情况下使用计算SA）。

`container.secrets.get` | `container.secrets.list`

根据此页面的解释，具有这些权限的您可以读取所有Kubernetes的SA的令牌，因此您可以升级到它们。

`container.pods.exec`

有了这个权限，您将能够执行进入pods，这将使您能够访问在pods中运行的所有Kubernetes SA，以在K8s内提升权限，但您还将能够窃取 NodePool的GCP服务帐户，从而提升GCP中的权限。

`container.pods.portForward`

根据此页面的解释，具有这些权限的您可以访问在pods中运行的本地服务，这可能使您能够在Kubernetes中提升权限（如果您设法与元数据服务通信，则还可以在GCP中提升权限）。

`container.serviceAccounts.createToken`

由于权限的名称，看起来它将允许您生成K8s服务帐户的令牌，因此您将能够提升到Kubernetes中的任何SA。但是，我找不到任何可用于使用它的API端点，请告诉我如果您找到了。

`container.mutatingWebhookConfigurations.create` | `container.mutatingWebhookConfigurations.update`

这些权限可能允许您在Kubernetes中提升权限，但更有可能，您可以滥用它们来在集群中持久存在。有关更多信息，请点击此链接。

PreviousGCP - Composer Privesc NextGCP - Deploymentmaneger Privesc

Last updated 1 month ago

container

container.clusters.get

container.roles.escalate | container.clusterRoles.escalate

container.roles.bind | container.clusterRoles.bind

container.secrets.get | container.secrets.list

container.pods.exec

container.pods.portForward

container.serviceAccounts.createToken

container.mutatingWebhookConfigurations.create | container.mutatingWebhookConfigurations.update