记一次实战中的私有云渗透

0x00起因

团队内有个师傅问

然后就有了这篇文章

0x01容器逃逸

上图为容器和宿主机文件做的对比

不难看出我们逃逸出来了

0x02对于k8s容器逃逸

最后发现他宿主机不出网，还是有一些限制的

我们是怎样发现6443端口地址的 因为我们逃逸到宿主机之后我们发现ip addr这些命令以及扫都发现不了 看hosts文件发现只有master节点信息以及node信息 那我们如何做收集6443端口呢 如果有k8s的web页面我们可以直接查看他的configMap，这里面一般也会作为云上横向的一点因 为他会泄露一些敏感信息，当然也会有6443端口信息，比如此文的实战案例中

权限够高可以展开很多的攻击手段，但这里权限比较低

我们做权限维持 这里请求nginx镜像超 超时的yaml

换个harbor镜像

私有镜像库

harbor是一个用于存储和分发docker镜像的企业级registry服务器，由vmware开源配置文件默认密码：harbor_admin_password：Harbor12345

发现这次是直接就挂在上来了 然后我们进入进来，根据yaml规则可以看到我们的挂在路径是把主机的根目录挂在到了pod里面 的mnt里面，所以我们在mnt里面应该是可以看到宿主机根目录文件夹的

然后我们想进入宿主机 只需要chroot /mnt就可以访问里面内容了

本人比较懒，不太想排版，师傅们将就着看吧，欢迎各位师傅加我微信进行技术交流哇

wx：owocc1

原文始发于微信公众号（HashRun安全团队）：记一次实战中的私有云渗透