Kubernetes OPA Gatekeeper bypass

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

Bu sayfanın orijinal yazarı Guillaume

Yanlış yapılandırmayı istismar etme

Kuralları listeleme

Aktif olan kuralların, hangi modda olduklarının ve kimin bunları atlayabileceğinin genel bir görünümünü elde etmek faydalı olabilir.

CLI ile

$ kubectl api-resources | grep gatekeeper
k8smandatoryannotations                                                             constraints.gatekeeper.sh/v1beta1                  false        K8sMandatoryAnnotations
k8smandatorylabels                                                                  constraints.gatekeeper.sh/v1beta1                  false        K8sMandatoryLabel
constrainttemplates                                                                 templates.gatekeeper.sh/v1                         false        ConstraintTemplate

ConstraintTemplate ve Constraint, Kubernetes kaynakları üzerinde kuralları uygulamak için Open Policy Agent (OPA) Gatekeeper’da kullanılabilir.

$ kubectl get constrainttemplates
$ kubectl get k8smandatorylabels

GUI ile

Bir Grafik Kullanıcı Arayüzü, Gatekeeper Policy Manager ile OPA kurallarına erişim sağlamak için de mevcut olabilir. Bu, “Kubernetes Kümesi’ndeki OPA Gatekeeper politikalarının durumunu görüntülemek için basit bir salt okunur web UI’dır.”

Açık hizmeti arayın:

$ kubectl get services -A | grep gatekeeper
$ kubectl get services -A | grep 'gatekeeper-policy-manager-system'

Hariç tutulan ad alanları

Yukarıdaki resimde gösterildiği gibi, belirli kurallar tüm ad alanları veya kullanıcılar üzerinde evrensel olarak uygulanmayabilir. Bunun yerine, beyaz listeye dayalı olarak çalışırlar. Örneğin, liveness-probe kısıtlaması, belirtilen beş ad alanına uygulanmaktan hariç tutulmuştur.

Bypass

Gatekeeper yapılandırmasının kapsamlı bir incelemesi ile, ayrıcalık kazanmak için istismar edilebilecek potansiyel yanlış yapılandırmalar belirlenebilir. Kuralın uygulanmadığı beyaz listeye alınmış veya hariç tutulmuş ad alanlarını arayın ve ardından saldırınızı burada gerçekleştirin.

Abusing Roles/ClusterRoles in Kubernetes

ValidatingWebhookConfiguration’ı İstismar Etme

Kısıtlamaları aşmanın bir diğer yolu, ValidatingWebhookConfiguration kaynağına odaklanmaktır:

Kubernetes ValidatingWebhookConfiguration

Referanslar

• https://github.com/open-policy-agent/gatekeeper
• https://github.com/sighupio/gatekeeper-policy-manager

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.