2026了,打red的时候遇到K8S还不知道咋横向吗(补充)

admin
admin
admin
0
文章
0
评论
2026-01-13 14:47:36 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档详解Kubernetesetcd未授权访问漏洞及利用方法。当etcd端口2379对外开放且配置不当关闭认证时,攻击者可利用etcd工具读取Secrets等敏感数据,通过写入包含特权配置的恶意Pod数据覆盖原配置,进而实现容器逃逸或接管集群,达成横向移动目的。 综合评分: 90 文章分类: 渗透测试,红队,云安全,内网渗透

cover_image

2026了,打red的时候遇到K8S还不知道咋横向吗(补充)

原创

Syst1m

凌曦安全

2026年1月12日 11:10 上海

本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。

严禁将本文中的任何信息用于非法目的或对任何未经许可的系统进行测试。未经授权尝试访问计算机系统或数据是违法行为,可能会导致法律后果。

作者不对因阅读本文后采取的任何行动所造成的任何形式的损害负责,包括但不限于直接、间接、特殊、附带或后果性的损害。用户应自行承担使用这些信息的风险。我们鼓励所有读者遵守法律法规,负责任地使用技术知识,共同维护网络空间的安全与和谐。

正文开始前先提一下,凌曦安全团队一期课程即将结课,计划开启二期课程,现在报名一期,可以以一期的价格继续上二期(无二次收费),需要的小伙伴可以看一下这个链接介绍:Zer0 sec 正式更名为 凌曦安全!新的一年,新的课程,元旦特惠来啦~

一期课程课程大纲直达链接:https://www.yuque.com/syst1m-/blog/lc3k6elv0zqhdal3

漏洞简介

  • 在安装完K8S后,默认会安装etcd组件,etcd是一个高可用的key-value数据库,它为K8S集群提供底层数据存储,保存了整个集群的状态

  • Kubernetes集群的etcd服务端口

  • 默认2379(TCP)用于客户端API端口(对外提供数据读写)

  • 默认2380(TCP)集群间对等通信端口(节点同步数据)

  • etcd存储了Kubernetes集群的很多关键数据

  • 所有Secrets

  • 数据库密码、API 令牌、OAuth凭据、TLS证书私钥、Docker仓库密码等

  • 攻击者可以直接提取这些secret,用于横向移动、入侵后端服务或窃取数据

  • 所有ConfigMaps: 应用的配置文件,可能包含敏感信息

  • 所有集群状态:

  • Pod、Service、Deployment的定义

  • 通过篡改这些数据,攻击者可以删除、创建或修改任何资源,例如:将一个正常Pod的镜像替换为恶意镜像,或者在集群中部署一个拥有特权、挂载主机路径的恶意Pod,从而完全控制宿主机节点

  • ServiceAccount令牌: 与Kubernetes API交互的凭据,拥有特定RBAC权限

  • 网络策略、RBAC 规则: 攻击者可以修改或删除这些安全策略,为后续渗透铺平道路

  • 如果目标在启动etcd的时候/etc/kubernetes/manifests/etcd.yaml文件配置不当,没有开启证书认证选项,且2379端口直接对外开放的话,就会导致存在etcd未授权访问漏洞,比如以下配置

漏洞利用(v3举例)

  • 工具下载:https://github.com/etcd-io/etcd/releases
  • 判断2382端口是否存在未授权访问

  • 查看节点状态

  • 获取键值

  • 这里的重点是读取Secret键的Token,可能可以获取高权限的Token,配合2026了,打red的时候遇到K8S还不知道咋横向吗(下)的知识点进行K8S接管

  • 添加用户

  • 查看用户

  • 赋予用户权限

  • 查看用户权限

  • 删除用户

  • 将恶意配置写入ETCD,覆盖原始Pod数据

  • 通过get可以获取Pod的详细信息(Windows下执行会乱码)

  • 构造恶意Pod配置:将目标Pod修改完以后(比如:添加privileged: true,使得后续能够通过特权模式进行容器逃逸)将信息保存到malicious-pod.txt

  • 将恶意配置写入ETCD(覆盖原始Pod数据)

  • 此时可以进入这个恶意Pod,然后逃逸到宿主机

外部交流群(欢迎进群互相交流):由于群人数超过了200,只能邀请拉群,可以关注公众号,后台回复“加群”,获取助手绿泡泡,联系小助手进交流群

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:凌曦安全 Syst1m《2026了,打red的时候遇到K8S还不知道咋横向吗(补充)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0