第五节：云上容器安全威胁（二）执行

在针对 Kubernetes 集群的潜在攻击场景中，获取 administrative 级别的 kubeconfig 文件并掌控承载 apiserver 的 master 节点权限，乃是实现对系统最高控制权的关键性突破，相当于实质上触及了攻击的核心目标。

参考https://Kubernetes.io/docs/reference/generated/kubectl/kubectl-commands，通过 apiserver 进行持续渗透和控制。因此如果想要攻击 apiserver, 必须确保容器内已安装有 kubectl ：

默认情况下，apiserver 都是有鉴权的：

则可通过8080端口尝试未授权访问，服务启动：kube-apiserver –insecure-bind-address=0.0.0.0 –insecure-port=8080，此时请求接口的结果如下：

对于这类的未鉴权的设置来说，访问到 apiserver 一般情况下就获取了集群的权限：

值得注意的是，在 Kubernetes 的最新迭代版本中，对对接至 10250 端口的访问行为已实施严格的鉴权管控机制，以确保数据交换的安全性。然而，在特定的应用场景下，如果启用了接纳匿名请求的功能配置，理论上未经认证的身份也可尝试通过 10250 端口发起通信请求，但此举明显违背了 Kubernetes 强调的安全最佳实践，因此应谨慎对待：

如果 10250 端口存在未授权访问漏洞，那么我们可以先使用 /pods 接口获取集群的详细信息，如 namespace，pods，containers 等

之后再通过curl -k https://Kubernetes-node-ip:10250/run/// -d "cmd=id" 的方式在任意容器里执行命令

此时，选择我们所有控制的容器快速过滤出高权限可逃逸的容器就很重要，在上述 /pods API 中可以获取到每个 POD 的配置，包括了 host*、securityContext、volumes 等配置，可以根据容器逃逸知识快速过滤出相应的 POD 进行控制。

由于这里 10250 鉴权当前的 Kubernetes 设计是默认安全的，所以 10255 的开放就可能更加容易在红蓝对抗中起到至关重要的作用。10255 本身为只读端口，虽然开放之后默认不存在鉴权能力，无法直接利用在容器中执行命令，但是可以获取环境变量 ENV、主进程 CMDLINE 等信息，里面包含密码和密钥等敏感信息的概率是很高的，可以快速帮我们在对抗中打开局面。

默认状态下，Dashboard 内置了一套健全的身份验证机制，用户可通过kubeconfig 文件或基于 Token 的认证流程登录系统。当集群管理员启用了 enable-skip-login 功能选项后，用户在登录界面会看到一个“Skip”跳过登录的按钮，点击该按钮即可在未经严格身份验证的情况下直接进入 Dashboard。这种方式虽提供了操作上的便捷性，但需注意其潜在的安全风险，建议在生产环境中谨慎使用并确保合理的权限管控措施已经落实到位。

当用户选择跳过身份验证过程并通过点击 "Skip" 进入 Kubernetes 面板时，默认情况下，其操作权限受限于 Kubernetes 引入的 RBAC（基于角色的访问控制）机制。该机制通过服务账户（ServiceAccount）来实现精细的身份验证和授权管理，在不同的 ServiceAccount 之间分配差异化的集群操作权限。

实际上，当我们“Skip”登录并直接进入 Kubernetes Dashboard 时，系统默认使用的是名为 “Kubernetes-dashboard” 的 ServiceAccount。若此 ServiceAccount 未经额外权限配置，将不具备对集群进行全面功能操作的能力。

然而，在部分开发场景或测试环境中，为便于管理或调试，开发者可能会赋予 Kubernetes-dashboard ServiceAccount 与 cluster-admin 这一 ClusterRole 相关联的权限。cluster-admin 是一个拥有集群最高管理权限的角色，将其绑定至 Kubernetes-dashboard，意味着该 Dashboard 将能执行所有集群资源的管理操作。

具体设置如下：

1. 新建 dashboard-admin.yaml 内容如下（该配置也类似于 “利用大权限的 Service Account” 一小节的配置 ）

2. 执行 kubectl create -f dashboard-admin.yaml，此时用户通过点击 Skip 进入 dashboard 即可拥有管理集群的权限了。

进入到 dashboard 我们可以管理 Pods、CronJobs 等，创建 Pod 控制 node 节点方法如下：

新建以下配置的 Pod，该 pod 主要是将宿主机根目录挂载到容器 tmp 目录下。

之后可通过该容器的 tmp 目录管理 node 节点的文件

值得注意的是，为了集群的稳定性和安全性要求，在 Kubernetes 默认设计的情况下 Pod 是不能调度到 master 节点的，但如果用户自行设置关闭了 Master Only 状态，那么我们可以直接在 master 节点新建 Pod 更直接的控制 master node；不过目前各大主流云产商上的 Kubernetes 集群服务，都会默认推荐让 Master 节点由云厂商托管，更加加剧了 Master 节点渗透和控制的难度。

在Kubernetes环境中，默认采用了etcd v3版本用以存储核心的集群配置和状态数据，因此，一旦攻击者能够非法获取并操控etcd服务，理论上即等同于完全控制了整个Kubernetes集群。

在Kubernetes的运维过程中，用户可通过编辑/etc/kubernetes/manifests/etcd.yaml配置文件来调整etcd Pod的相关参数设定。假定管理员在配置更新时，不慎将etcd的监听地址设置为0.0.0.0，从而使其对任意网络来源开放，那么攻击者便有可能利用这一漏洞，未经授权地从etcd中获取用于Kubernetes认证鉴权的token，进而实施对集群的非法控制操作。方式如下：

首先读取用于访问 apiserver 的 token：

利用 token 可通过 apiserver 端口 6443 控制集群：

Docker daemon 支持三种不同类型的 socket: unix, tcp, fd。默认情况下，Docker daemon 监听在 unix:///var/run/docker.sock，开发者可以通过多种方式打开 tcp socket，比如修改 Docker 配置文件如 / usr/lib/systemd/system/docker.service：

之后依次执行 systemctl daemon-reload、systemctl restart docker 便可以使用 docker -H tcp://[HOST]:2375 这种方式控制目标 docker

因此当你有访问到目标 Docker API 的网络能力或主机能力的时候，你就拥有了控制当前服务器的能力。我们可以利用 Docker API 在远程主机上创建一个特权容器，并且挂载主机根目录到容器，对主机进行进一步的渗透，更多利用方法参考容器逃逸章节。

检测目标是否存在 docker api 未授权访问漏洞的方式也很简单，访问 http://[host]:[port]/info 路径是否含有 ContainersRunning、DockerRootDir 等关键字。

对于熟悉Kubernetes平台的用户而言，当在一个Pod上暴露端口并使用ClusterIP类型Service进行内部绑定时，默认情况下，若未通过NodePort或LoadBalancer类型的Service对外提供服务，则集群外部无法直接访问到该内部服务（除非进行了针对网络插件如CNI的深度定制和配置修改）。

换言之，kubectl proxy作为一项功能，能够代理用户对集群内受限资源的访问，这在一定程度上可能成为攻击者绕过集群外网访问限制、实现非法入侵的有效途径，值得运维人员给予高度关注与严谨配置。

如果想临时在本地和外网调试的话，kubectl proxy 似乎是个不错的选择。

但其实 kubectl proxy 转发的是 apiserver 所有的能力，而且是默认不鉴权的，所以 –address=0.0.0.0 极其危险。