2025-12-22 03:52:31 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文记录了一次内网K8S渗透测试实战过程，从前期发现heapdump信息泄露获取ShiroKey，到利用反序列化漏洞获取初始权限，再到内网扫描发现未授权的2379和6443端口，最终通过etcd获取Kubernetes敏感信息并使用kubectl进入容器获取执行权限，成功控制多个集群。 综合评分： 87 文章分类： 渗透测试,内网渗透,云安全,实战经验,漏洞分析

cover_image

记录某系统实战内网K8S渗透

原创

zkaq – newugly

掌控安全EDU

2025年12月20日 15:01 江西

扫码领资料

获网安教程

本文由掌控安全学院 – newugly 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn ）****

一、前期踩点

在完成前期信息收集后，发现目标系统可能存在安全隐患。

该系统基于 Spring 框架构建，使用 SpringBoot-Scan 和 YYBaby_v0.7_Spring_Scan 等工具对其进行目录扫描，最终确认系统存在 heapdump 信息泄露问题。

将 heapdump 文件下载并进行内存分析后，在其中发现了应用配置中使用的 Shiro Key 等敏感信息。

随后使用 Shiro 反序列化相关工具对获取到的 Key 进行验证，确认其是否有效以及是否具备命令执行能力。在验证成功后，即可通过反序列化漏洞执行系统命令，进一步反弹 Shell 到自己的 VPS 上。取得初始权限后，可以搭建代理进入内网进行横向渗透，或直接上线 vShell 进一步搭建代理。此外，也可以借助自动化工具上传内存马，再通过 WebShell 管理工具进行连接。

一、内网k8s渗透

进入内网后，首先会对当前主机进行基础信息收集，包括查看网卡信息以确认可达的网段、当前用户所具备的权限，以及主机上运行的服务和应用情况。同时尝试查阅配置文件，重点关注其中是否包含账号密码、接口密钥等敏感信息。如果目标主机为 Windows 且具备外连能力，可以尝试开启并使用 RDP 进行远程连接，相比 Linux 系统，Windows 主机往往能够获取到更多有价值的信息和进一步利用的机会。最后，根据实际情况上传 fscan 等内网扫描工具，进行探测、扫描。

在扫描过程中发现 C 段中的一个 ip 存在 2379 端口和 6443 端口未授权，那么就可以直接拿到集群中的主机权限

第一步

etcdctl.exe --endpoints=目标 ip:2379 get / --prefix --keys-only | findstr secrets

从 etcd 中把所有配置项的“名字”都列出来，并筛选出和 secrets 相关的内容。这样做可以快速判断 etcd 里是否存放着 Kubernetes 的敏感信息，比如账号密码、Token 等，而不需要一开始就读取具体数据。

第二步

etcdctl.exe --endpoints=目标 ip:2379 get /registry/secrets/base-service/backuprecovery-admin-token-zltg8

连接目标主机上的 etcd 服务，并按照指定路径读取名为 backuprecovery-admin-token-zltg8 的 Secret 数据。这个 Secret 通常对应的是 Kubernetes 中某个 ServiceAccount 的访问凭据，里面往往包含 Token、证书等敏感信息。如果该命令能够成功返回结果，说明已经可以从 etcd 中直接获取集群的认证信息，后续即可利用这些 Token 访问 Kubernetes API Server，进一步枚举资源甚至控制整个集群