Kubernetes Kyverno bypass

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

Bu sayfanın orijinal yazarı Guillaume

Politika yanlış yapılandırmalarını istismar etme

Kuralları listele

Bir genel bakışa sahip olmak, hangi kuralların aktif olduğunu, hangi modda olduğunu ve kimin bunları atlayabileceğini bilmeye yardımcı olabilir.

$ kubectl get clusterpolicies
$ kubectl get policies

Hariç Tutanları Say

Her ClusterPolicy ve Policy için, hariç tutulan varlıkların bir listesini belirtebilirsiniz, bunlar arasında:

• Gruplar: excludedGroups
• Kullanıcılar: excludedUsers
• Servis Hesapları (SA): excludedServiceAccounts
• Roller: excludedRoles
• Küme Rolleri: excludedClusterRoles

Bu hariç tutulan varlıklar, politika gerekliliklerinden muaf tutulacak ve Kyverno bu varlıklar için politikayı uygulamayacaktır.

Örnek

Bir clusterpolicy örneğine dalalım:

$ kubectl get clusterpolicies MYPOLICY -o yaml

Hariç tutulan varlıkları arayın:

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

Bir küme içinde, birçok ek bileşen, operatör ve uygulama, bir küme politikasından muaf tutulmayı gerektirebilir. Ancak, bu, ayrıcalıklı varlıkları hedef alarak istismar edilebilir. Bazı durumlarda, bir ad alanının mevcut olmadığı veya bir kullanıcıyı taklit etme izninizin olmadığı görünebilir; bu, yanlış yapılandırmanın bir işareti olabilir.

ValidatingWebhookConfiguration’ı Kötüye Kullanma

Politikaları atlatmanın bir diğer yolu, ValidatingWebhookConfiguration kaynağına odaklanmaktır:

Kubernetes ValidatingWebhookConfiguration

Daha fazla bilgi

Daha fazla bilgi için https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-22/securing-kubernetes-clusters-using-kyverno-policy-engine/welcome/ adresini kontrol edin.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.