HackTricks CloudGCP - Container Privesc
Tip
Aprende y practica Hacking en AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.
container
container.clusters.get
Este permiso permite recopilar credenciales para el clúster de Kubernetes usando algo como:
Obtener credenciales del clúster de Kubernetes
```bash gcloud container clusters get-credentialsSin permisos adicionales, las credenciales son bastante básicas ya que puedes solo listar algunos recursos, pero son útiles para encontrar configuraciones incorrectas en el entorno.
Note
Ten en cuenta que kubernetes clusters podrían estar configurados como privados, lo que impedirá el acceso al Kube-API server desde Internet.
Si no tienes este permiso aún puedes acceder al cluster, pero necesitas crear tu propio archivo de configuración de kubectl con la información del cluster. Uno recién generado se ve así:
Ejemplo de archivo de configuración de kubectl para un cluster GKE
```yaml apiVersion: v1 clusters: - cluster: certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUVMRENDQXBTZ0F3SUJBZ0lRRzNaQmJTSVlzeVRPR1FYODRyNDF3REFOQmdrcWhraUc5dzBCQVFzRkFEQXYKTVMwd0t3WURWUVFERXlRMk9UQXhZVEZoWlMweE56ZGxMVFF5TkdZdE9HVmhOaTAzWVdFM01qVmhNR05tTkdFdwpJQmNOTWpJeE1qQTBNakl4T1RJMFdoZ1BNakExTWpFeE1qWXlNekU1TWpSYU1DOHhMVEFyQmdOVkJBTVRKRFk1Ck1ERmhNV0ZsTFRFM04yVXROREkwWmkwNFpXRTJMVGRoWVRjeU5XRXdZMlkwWVRDQ0FhSXdEUVlKS29aSWh2Y04KQVFFQkJRQURnZ0dQQURDQ0FZb0NnZ0dCQU00TWhGemJ3Y3VEQXhiNGt5WndrNEdGNXRHaTZmb0pydExUWkI4Rgo5TDM4a2V2SUVWTHpqVmtoSklpNllnSHg4SytBUHl4RHJQaEhXMk5PczFNMmpyUXJLSHV6M0dXUEtRUmtUWElRClBoMy9MMDVtbURwRGxQK3hKdzI2SFFqdkE2Zy84MFNLakZjRXdKRVhZbkNMMy8yaFBFMzdxN3hZbktwTWdKVWYKVnoxOVhwNEhvbURvOEhUN2JXUTJKWTVESVZPTWNpbDhkdDZQd3FUYmlLNjJoQzNRTHozNzNIbFZxaiszNy90RgpmMmVwUUdFOG90a0VVOFlHQ3FsRTdzaVllWEFqbUQ4bFZENVc5dk1RNXJ0TW8vRHBTVGNxRVZUSzJQWk1rc0hyCmMwbGVPTS9LeXhnaS93TlBRdW5oQ2hnRUJIZTVzRmNxdmRLQ1pmUFovZVI1Qk0vc0w1WFNmTE9sWWJLa2xFL1YKNFBLNHRMVmpiYVg1VU9zMUZIVXMrL3IyL1BKQ2hJTkRaVTV2VjU0L1c5NWk4RnJZaUpEYUVGN0pveXJvUGNuMwpmTmNjQ2x1eGpOY1NsZ01ISGZKRzZqb0FXLzB0b2U3ek05RHlQOFh3NW44Zm5lQm5aVTFnYXNKREZIYVlZbXpGCitoQzFETmVaWXNibWNxOGVPVG9LOFBKRjZ3SURBUUFCbzBJd1FEQU9CZ05WSFE4QkFmOEVCQU1DQWdRd0R3WUQKVlIwVEFRSC9CQVV3QXdFQi96QWRCZ05WSFE0RUZnUVU5UkhvQXlxY3RWSDVIcmhQZ1BjYzF6Sm9kWFV3RFFZSgpLb1pJaHZjTkFRRUxCUUFEZ2dHQkFLbnp3VEx0QlJBVE1KRVB4TlBNbmU2UUNqZDJZTDgxcC9oeVc1eWpYb2w5CllkMTRRNFVlVUJJVXI0QmJadzl0LzRBQ3ZlYUttVENaRCswZ2wyNXVzNzB3VlFvZCtleVhEK2I1RFBwUUR3Z1gKbkJLcFFCY1NEMkpvZ29tT3M3U1lPdWVQUHNrODVvdWEwREpXLytQRkY1WU5ublc3Z1VLT2hNZEtKcnhuYUVGZAprVVl1TVdPT0d4U29qVndmNUsyOVNCbGJ5YXhDNS9tOWkxSUtXV2piWnZPN0s4TTlYLytkcDVSMVJobDZOSVNqCi91SmQ3TDF2R0crSjNlSjZneGs4U2g2L28yRnhxZWFNdDladWw4MFk4STBZaGxXVmlnSFMwZmVBUU1NSzUrNzkKNmozOWtTZHFBYlhPaUVOMzduOWp2dVlNN1ZvQzlNUk1oYUNyQVNhR2ZqWEhtQThCdlIyQW5iQThTVGpQKzlSMQp6VWRpK3dsZ0V4bnFvVFpBcUVHRktuUTlQcjZDaDYvR0xWWStqYXhuR3lyUHFPYlpNZTVXUDFOUGs4NkxHSlhCCjc1elFvanEyRUpxanBNSjgxT0gzSkxOeXRTdmt4UDFwYklxTzV4QUV0OWxRMjh4N28vbnRuaWh1WmR6M0lCRU8KODdjMDdPRGxYNUJQd0hIdzZtKzZjUT09Ci0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K server: https://34.123.141.28 name: gke_security-devbox_us-central1_autopilot-cluster-1 contexts: - context: cluster: gke_security-devbox_us-central1_autopilot-cluster-1 user: gke_security-devbox_us-central1_autopilot-cluster-1 name: gke_security-devbox_us-central1_autopilot-cluster-1 current-context: gke_security-devbox_us-central1_autopilot-cluster-1 kind: Config preferences: {} users: - name: gke_security-devbox_us-central1_autopilot-cluster-1 user: auth-provider: config: access-token:container.roles.escalate | container.clusterRoles.escalate
Kubernetes por defecto impide que los principals puedan crear o actualizar Roles y ClusterRoles con más permisos de los que el principal posee. Sin embargo, un principal de GCP con esos permisos podrá crear/actualizar Roles/ClusterRoles con más permisos de los que tenía, eludiendo efectivamente la protección de Kubernetes contra este comportamiento.
container.roles.create y/o container.roles.update O container.clusterRoles.create y/o container.clusterRoles.update respectivamente son también necesarios para realizar esas acciones de escalada de privilegios.
container.roles.bind | container.clusterRoles.bind
Kubernetes por defecto impide que los principals puedan crear o actualizar RoleBindings y ClusterRoleBindings para otorgar más permisos de los que el principal posee. Sin embargo, un principal de GCP con esos permisos podrá crear/actualizar RoleBindings/ClusterRoleBindings con más permisos de los que tenía, eludiendo efectivamente la protección de Kubernetes contra este comportamiento.
container.roleBindings.create y/o container.roleBindings.update O container.clusterRoleBindings.create y/o container.clusterRoleBindings.update respectivamente también son necesarios para realizar esas acciones de escalada de privilegios.
container.cronJobs.create | container.cronJobs.update | container.daemonSets.create | container.daemonSets.update | container.deployments.create | container.deployments.update | container.jobs.create | container.jobs.update | container.pods.create | container.pods.update | container.replicaSets.create | container.replicaSets.update | container.replicationControllers.create | container.replicationControllers.update | container.scheduledJobs.create | container.scheduledJobs.update | container.statefulSets.create | container.statefulSets.update
Todos estos permisos te permitirán crear o actualizar un recurso donde puedes definir un pod. Al definir un pod puedes especificar la SA que será adjuntada y la imagen que se va a ejecutar, por lo tanto puedes ejecutar una imagen que exfiltre el token de la SA a tu servidor, permitiéndote escalar a cualquier Service Account.
Para más información consulta:
Como estamos en un entorno de GCP, también podrás obtener la SA de GCP del nodepool desde el servicio de metadata y escalar privilegios en GCP (por defecto se usa la compute SA).
container.secrets.get | container.secrets.list
Como se explica en esta página, con estos permisos puedes leer los tokens de todas las SAs de Kubernetes, por lo que puedes escalar a ellas.
container.pods.exec
Con este permiso podrás ejecutar comandos dentro de pods, lo que te da acceso a todas las SAs de Kubernetes que se ejecutan en pods para escalar privilegios dentro de K8s, pero también podrás robar la Service Account de GCP del NodePool, escalando privilegios en GCP.
container.pods.portForward
Como se explica en esta página, con estos permisos puedes acceder a servicios locales que se ejecutan en pods y que podrían permitirte escalar privilegios en Kubernetes (y en GCP si de algún modo logras comunicarte con el servicio de metadata).
container.serviceAccounts.createToken
Por el nombre de este permiso, parece que permitiría generar tokens de las Service Accounts de K8s, por lo que podrías escalar privilegios a cualquier SA dentro de Kubernetes. Sin embargo, no pude encontrar ningún endpoint de API para usarlo, así que avísame si lo encuentras.
container.mutatingWebhookConfigurations.create | container.mutatingWebhookConfigurations.update
Estos permisos podrían permitirte escalar privilegios en Kubernetes, pero más probablemente podrías abusarlos para persistir en el cluster.
Para más información sigue este enlace.
Tip
Aprende y practica Hacking en AWS:
Aprende y practica Hacking en GCP:Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.