Kubernetes Kyverno omseiling

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

Die oorspronklike skrywer van hierdie bladsy is Guillaume

Misbruik van beleidsmisconfigurasie

Lys reëls

Om ’n oorsig te hê, kan help om te weet watter reëls aktief is, in watter modus en wie dit kan omseil.

$ kubectl get clusterpolicies
$ kubectl get policies

Enumereer Uitsluitings

Vir elke ClusterPolicy en Policy kan jy ’n lys van uitgeslote entiteite spesifiseer, insluitend:

• Groepe: excludedGroups
• Gebruikers: excludedUsers
• Diensrekening (SA): excludedServiceAccounts
• Rolle: excludedRoles
• Klasrolle: excludedClusterRoles

Hierdie uitgeslote entiteite sal vrygestel wees van die beleidsvereistes, en Kyverno sal die beleid nie vir hulle afdwing nie.

Voorbeeld

Kom ons kyk na een clusterpolicy voorbeeld :

$ kubectl get clusterpolicies MYPOLICY -o yaml

Soek na die uitgeslote entiteite :

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

Binne ’n kluster kan verskeie bygevoegde komponente, operateurs en toepassings uitsluiting van ’n klusterbeleid vereis. Dit kan egter uitgebuit word deur te fokus op bevoorregte entiteite. In sommige gevalle kan dit lyk asof ’n naamruimte nie bestaan nie of dat jy nie toestemming het om ’n gebruiker na te volg nie, wat ’n teken van verkeerde konfigurasie kan wees.

Misbruik van ValidatingWebhookConfiguration

Nog ’n manier om beleide te omseil, is om op die ValidatingWebhookConfiguration hulpbron te fokus:

Kubernetes ValidatingWebhookConfiguration

Meer inligting

Vir meer inligting, kyk https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-22/securing-kubernetes-clusters-using-kyverno-policy-engine/welcome/

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.