Kubernetes Kyverno bypass

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.

Oryginalnym autorem tej strony jest Guillaume

Wykorzystywanie błędnej konfiguracji polityk

Wyliczanie reguł

Posiadanie przeglądu może pomóc w zrozumieniu, które reguły są aktywne, w jakim trybie i kto może je obejść

$ kubectl get clusterpolicies
$ kubectl get policies

Enumerate Excluded

Dla każdej ClusterPolicy i Policy możesz określić listę wykluczonych podmiotów, w tym:

• Grupy: excludedGroups
• Użytkownicy: excludedUsers
• Konta serwisowe (SA): excludedServiceAccounts
• Role: excludedRoles
• Role klastra: excludedClusterRoles

Te wykluczone podmioty będą zwolnione z wymagań polityki, a Kyverno nie będzie egzekwować polityki wobec nich.

Example

Zagłębmy się w jeden przykład clusterpolicy:

$ kubectl get clusterpolicies MYPOLICY -o yaml

Szukaj wykluczonych podmiotów:

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

W obrębie klastra, liczne dodatkowe komponenty, operatory i aplikacje mogą wymagać wyłączenia z polityki klastra. Jednakże, może to być wykorzystane poprzez celowanie w uprzywilejowane podmioty. W niektórych przypadkach może się wydawać, że przestrzeń nazw nie istnieje lub że nie masz uprawnień do podszywania się pod użytkownika, co może być oznaką błędnej konfiguracji.

Wykorzystywanie ValidatingWebhookConfiguration

Innym sposobem na obejście polityk jest skupienie się na zasobie ValidatingWebhookConfiguration:

Kubernetes ValidatingWebhookConfiguration

Więcej informacji

Aby uzyskać więcej informacji, sprawdź https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-22/securing-kubernetes-clusters-using-kyverno-policy-engine/welcome/

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.