GCP - Containers & GKE Enum

学习并练习 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP 黑客技术: HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

检查 订阅计划!
加入 💬 Discord 群组 或 电报群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

容器

在 GCP 容器中，您可以找到大多数基于容器的服务 GCP 提供的服务，这里您可以看到如何枚举最常见的服务：

gcloud container images list
gcloud container images list --repository us.gcr.io/<project-name> #Search in other subdomains repositories
gcloud container images describe <name>
gcloud container subnets list-usable
gcloud container clusters list
gcloud container clusters describe <name>
gcloud container clusters get-credentials [NAME]

# Run a container locally
docker run --rm -ti gcr.io/<project-name>/secret:v1 sh

# Login & Download
sudo docker login -u oauth2accesstoken -p $(gcloud auth print-access-token) https://HOSTNAME
## where HOSTNAME is gcr.io, us.gcr.io, eu.gcr.io, or asia.gcr.io.
sudo docker pull HOSTNAME/<project-name>/<image-name>

提权

在以下页面，您可以查看如何滥用容器权限来提升特权：

GCP - Container Privesc

节点池

这些是形成 Kubernetes 集群的机器（节点）池。

# Pool of machines used by the cluster
gcloud container node-pools list --zone <zone> --cluster <cluster>
gcloud container node-pools describe --cluster <cluster> --zone <zone> <node-pool>

Kubernetes

有关 Kubernetes 是什么的信息，请查看此页面：

Kubernetes Pentesting

首先，您可以检查您的项目中是否存在任何 Kubernetes 集群。

gcloud container clusters list

如果您有一个集群，您可以让 gcloud 自动配置您的 ~/.kube/config 文件。这个文件用于在您使用 kubectl 时对您进行身份验证，kubectl 是用于与 K8s 集群交互的本机 CLI。尝试运行以下命令。

gcloud container clusters get-credentials [CLUSTER NAME] --region [REGION]

然后，查看~/.kube/config文件以查看生成的凭据。该文件将用于根据您当前gcloud会话使用的相同身份自动刷新访问令牌。当然，这需要正确的权限设置。

设置完成后，您可以尝试以下命令获取集群配置。

kubectl cluster-info

您可以在此处了解有关gcloud用于容器的更多信息。

这是一个简单的脚本，用于枚举GCP中的Kubernetes：https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/gcp_k8s_enum

TLS引导特权升级

最初，此特权升级技术允许在GKE集群内部提升权限，有效地允许攻击者完全控制它。

这是因为GKE在元数据中提供了TLS引导凭据，任何人只要破坏一个pod就可以访问。

所使用的技术在以下帖子中有解释：

而这个工具是为了自动化这个过程而创建的：https://github.com/4ARMED/kubeletmein

然而，该技术滥用了使用元数据凭据可以为新节点生成CSR（证书签名请求），而这是自动批准的。在我的测试中，我发现这些请求不再自动批准，所以我不确定这个技术是否仍然有效。

Kubelet API中的秘密

在这篇文章中发现了一个Kubelet API地址，可以从GKE中的一个pod内部访问，提供正在运行的pod的详细信息：

curl -v -k http://10.124.200.1:10255/pods

即使API不允许修改资源，仍有可能在响应中找到敏感信息。使用Kiterunner找到了端点/pods。

学习并实践AWS黑客技术：HackTricks培训AWS红队专家（ARTE） 学习并实践GCP黑客技术：HackTricks培训GCP红队专家（GRTE）

支持HackTricks

检查订阅计划!
加入 💬 Discord群组 或 电报群组 或关注我们的Twitter 🐦 @hacktricks_live.
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享黑客技巧。

PreviousGCP - Composer Enum NextGCP - DNS Enum

Last updated 1 month ago