原创 K8s攻擊案例:kube-proxy不安全配置
通過使用kube-proxy暴露未授權訪問的服務或組件,可能會形成外部攻擊入口點,從而導致集羣被入侵。 (1)攻擊場景 使用kubectl proxy命令設置API server接收所有主機的請求。 kubectl --insecure-
2024-01-02 15:17:43
原创 K8s攻擊案例:Dashboard未授權訪問
Dashboard 在配置不當情況下有可能會產生未授權訪問的情況,從而有可能進一步造成接管集羣。 (1)攻擊場景 在deployment中開啓enable-skip-login,那麼就可以在登錄界面點擊跳過登錄進dashboard。 將默
2024-01-02 15:17:43
1
原创 K8s攻擊案例:kubelet未授權訪問
kubelet會在集羣中每個節點運行,對容器進行生命週期的管理,如果kubelet配置不當,攻擊者可創建惡意Pod嘗試逃逸到宿主機。 (1)攻擊場景 anonymous默認爲false,修改爲true,並將mode從Webhook修改爲Al
2024-01-02 15:17:43
原创 K8s攻擊案例:etcd 未授權訪問
etcd 用於存儲K8s集羣中的所有配置數據和狀態信息,如果管理員配置不當,導致etcd未授權訪問的情況,那麼攻擊者就可以從etcd中獲取secrets&token等關鍵信息,進而通過kubectl創建惡意pod從而接管集羣。 (1)攻擊場
2024-01-02 15:17:43
1
原创 K8s攻擊案例: API Server未授權訪問
API Server 是集羣的管理入口,任何資源請求或調用都是通過kube-apiserver提供的接口進行。默認情況下,API Server提供兩個端口服務,8080和6443,配置不當將出現未授權訪問。 8080端口,默認不啓動,無需認
2024-01-02 15:17:43
原创 Ubuntu 20.04 LTS 安裝Kubernetes 1.26
1、環境配置 (1)添加主機名稱解析記錄 cat > /etc/hosts << EOF 192.168.44.200 master01 master01.bypass.cn 192.168.44.201 node01 nod
2023-09-03 14:22:51
4
原创 如何快速判斷是否在容器環境
在滲透測試過程中,我們的起始攻擊點可能在一臺虛擬機裏或是一個Docker環境裏,甚至可能是在K8s集羣環境的一個pod裏,我們應該如何快速判斷當前是否在容器環境中運行呢? 當拿到shell權限,看到數字和字母隨機生成的主機名大概率猜到在容器
2023-07-01 14:28:28
原创 kubectl get cs顯示unhealthy的解決辦法
01、問題描述 使用kubectl get cs查看K8s組件狀態,發現scheduler和controller-manager狀態爲Unhealthy,但集羣可以正常使用。 [root@k8s-master ~]# kubectl ge
2023-06-20 14:23:46
原创 Docker 容器入侵排查
隨着越來越多的應用程序運行在容器裏,各種容器安全事件也隨之發生,例如攻擊者可以通過容器應用獲取容器控制權,利用失陷容器進行內網橫向,並進一步逃逸到宿主機甚至攻擊K8s集羣。 容器的運行環境是相對獨立而純粹,當容器遭受攻擊時,急需對可疑的容器
2023-06-15 14:22:52
原创 Habor 搭建鏡像倉庫
01、環境準備 (1)安裝docker和docker-compose (2)下載harbor離線安裝包 下載地址:https://github.com/goharbor/harbor/releases 02、安裝harbor (
2023-06-14 14:25:54
原创 Splunk通過企業微信實現微信告警
1、準備條件: 註冊企業微信--創建應用,獲取相關的corpId 和secret等信息。 2、編寫python腳本,使用Python實現企業微信通知功能,可自定義告警信息。 代碼demo: #!/usr/bin/python # -
2023-06-14 14:25:54
原创 巧用OpenSSH進行域內權限維持
最近在Windows服務器上安裝OpenSSH,意外發現了一個很有意思的技巧,可用來做域內權限維持,廢話不多說,直接上步驟。 01、利用方式 (1)在已經獲得權限的Windows服務器上,使用msiexec安裝openssh,一行命令靜默安
2023-05-24 14:28:46
原创 Splunk DB Connect 連接SQL Server報錯
01、問題描述 使用Splunk DB Connect 連接SQL Server數據庫讀取數據時,報錯信息如下:驅動程序無法使用安全套接字層(SSL)加密建立與SQL Server的安全連接。 The driver could not
2023-04-24 14:23:08
原创 雲原生安全工具合集
以Docker+K8s爲代表的容器技術得到了越來越廣泛的應用,從安全攻防的角度,攻擊者已經不再滿足於容器逃逸,進而攻擊整個容器編排平臺,如果可以拿下集羣管理員權限,其效果不亞於域控失陷。 在雲原生安全攻防的場景下,甲乙攻防雙方對於安全工具的
2023-04-11 14:23:46
1
原创 Splunk DB Connect 連接MySQL報錯CLIENT_PLUGIN_AUTH is required
01、問題描述 使用Splunk DB Connect 連接MySQL數據庫讀庫時,報錯CLIENT_PLUGIN_AUTH is required,如下圖: 02、原因分析 根據報錯信息,查閱相關資料,瞭解到報錯原因:目標數據庫爲MyS
2023-03-17 14:23:28