Kubernetes Kyverno bypass

Tip

Jifunze na ufanye mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Saidia HackTricks

• Angalia the subscription plans!
• Jiunge na 💬 Discord group au the telegram group au utufuate kwenye Twitter 🐦 @hacktricks_live.
• Shiriki hacking tricks kwa kutuma PRs kwa HackTricks and HackTricks Cloud github repos.

Mwandishi wa awali wa ukurasa huu ni Guillaume

Kutumia makosa ya usanidi wa sera

Kuorodhesha sheria

Kuwa na muonekano wa jumla kunaweza kusaidia kujua ni sheria zipi ziko hai, katika hali gani na nani anaweza kuzipita

$ kubectl get clusterpolicies
$ kubectl get policies

Enumerate Excluded

Kwa kila ClusterPolicy na Policy, unaweza kubainisha orodha ya viumbe vilivyotengwa, ikiwa ni pamoja na:

• Makundi: excludedGroups
• Watumiaji: excludedUsers
• Akaunti za Huduma (SA): excludedServiceAccounts
• Majukumu: excludedRoles
• Majukumu ya Kijamii: excludedClusterRoles

Viumbe vilivyotengwa vitakuwa huru kutoka kwa mahitaji ya sera, na Kyverno haitatekeleza sera kwao.

Example

Hebu tuingie kwenye mfano mmoja wa clusterpolicy:

$ kubectl get clusterpolicies MYPOLICY -o yaml

Tafuta vitu vilivyotengwa:

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

Katika klasta, vipengele vingi vilivyoongezwa, waendeshaji, na programu vinaweza kuhitaji kutengwa kutoka kwa sera ya klasta. Hata hivyo, hii inaweza kutumika kwa kulenga viumbe wenye mamlaka. Katika baadhi ya matukio, inaweza kuonekana kwamba jina la nafasi halipo au kwamba huna ruhusa ya kujifanya kuwa mtumiaji, ambayo inaweza kuwa ishara ya usanidi mbaya.

Kutumia ValidatingWebhookConfiguration

Njia nyingine ya kupita sera ni kuzingatia rasilimali ya ValidatingWebhookConfiguration:

Kubernetes ValidatingWebhookConfiguration

Maelezo zaidi

Kwa maelezo zaidi angalia https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-22/securing-kubernetes-clusters-using-kyverno-policy-engine/welcome/

Tip

Jifunze na ufanye mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Saidia HackTricks

• Angalia the subscription plans!
• Jiunge na 💬 Discord group au the telegram group au utufuate kwenye Twitter 🐦 @hacktricks_live.
• Shiriki hacking tricks kwa kutuma PRs kwa HackTricks and HackTricks Cloud github repos.