Kubernetes Kyverno bypass

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Ο αρχικός συγγραφέας αυτής της σελίδας είναι Guillaume

Κατάχρηση κακής διαμόρφωσης πολιτικών

Καταμέτρηση κανόνων

Η επισκόπηση μπορεί να βοηθήσει στο να γνωρίζουμε ποιες κανόνες είναι ενεργοί, σε ποιον τρόπο και ποιος μπορεί να τους παρακάμψει.

$ kubectl get clusterpolicies
$ kubectl get policies

Enumerate Excluded

Για κάθε ClusterPolicy και Policy, μπορείτε να καθορίσετε μια λίστα εξαιρούμενων οντοτήτων, συμπεριλαμβανομένων:

• Ομάδες: excludedGroups
• Χρήστες: excludedUsers
• Λογαριασμοί Υπηρεσιών (SA): excludedServiceAccounts
• Ρόλοι: excludedRoles
• Ρόλοι Cluster: excludedClusterRoles

Αυτές οι εξαιρούμενες οντότητες θα είναι απαλλαγμένες από τις απαιτήσεις της πολιτικής, και η Kyverno δεν θα επιβάλει την πολιτική για αυτές.

Example

Let’s dig into one clusterpolicy example :

$ kubectl get clusterpolicies MYPOLICY -o yaml

Αναζητήστε τις εξαιρούμενες οντότητες:

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

Μέσα σε ένα cluster, πολλαπλά πρόσθετα στοιχεία, operators και εφαρμογές μπορεί να απαιτούν εξαίρεση από μια πολιτική cluster. Ωστόσο, αυτό μπορεί να εκμεταλλευτεί με την στόχευση προνομιακών οντοτήτων. Σε ορισμένες περιπτώσεις, μπορεί να φαίνεται ότι ένα namespace δεν υπάρχει ή ότι δεν έχετε άδεια να προσποιηθείτε έναν χρήστη, κάτι που μπορεί να είναι ένδειξη κακής διαμόρφωσης.

Κατάχρηση του ValidatingWebhookConfiguration

Ένας άλλος τρόπος για να παρακάμψετε τις πολιτικές είναι να εστιάσετε στον πόρο ValidatingWebhookConfiguration:

Kubernetes ValidatingWebhookConfiguration

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες ελέγξτε https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-22/securing-kubernetes-clusters-using-kyverno-policy-engine/welcome/

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.