红蓝对抗中的云原生漏洞挖掘及利用实录

Mesh》讲述我们在近一年红蓝对抗演练中所遇到的云原生企业架构以及我们在服务网格攻防场景沉淀下来的一些方法论回顾近几年騰讯蓝军在云原生安全上的探索和沉淀，我们在2018年的时候开始正式投入对Serverless和容器编排技术在攻防场景的预研并把相关的沉淀服务于多个騰讯基础设施和产品之上，而在近期内外部的红蓝对抗演练中腾讯蓝军也多次依靠在云原生场景上的漏洞挖掘和漏洞利用进而突破防御進入到内网或攻破核心靶标；特别是2020年度的某云安全演习更是通过云原生的安全问题才一举突破层层对抗进入内网。

本篇文章我们想聚焦於攻防对抗中所沉淀下来的漏洞分享我们在多处攻防场景所遇到的云原生相关的漏洞挖掘和漏洞利用实例。

2、攻防演练中的云原生安全

Foundation）在对云原生定义的描述中提到“云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API”；我们今天所聊到的漏洞和利用手法也紧紧围绕着上述的幾类技术和由云原生相关技术所演化出来的多种技术架构进行包括但不限于容器、服务网格、微服务、不可变基础设施、声明式API、无服務架构、函数计算、DevOps等，并涉及研发团队在使用的一些云原生开源组件和自研、二次开发时常见的安全问题不在“云原生安全”这个概念上做过多的延伸和扩展，且提及所有的安全漏洞都在“腾讯蓝军”对内对外的攻防演练和漏洞挖掘中有实际的利用经验积累

在实际的攻防中我们所进行的攻击路径并非完全契合在IS2020上总结的攻击模型：

因为大部分情况下我们遇到的内网并非完全基于容器技术所构建的，所鉯内网的起点并不一定是一个权限受限的容器但攻击的方向和目标却大同小异：为了获取特定靶标的权限、资金和数据，我们一般需要控制更多乃至全部的容器、主机和集群

也由于业界云原生实践的发展非常迅速，虽然进入内网之后我们所接触的不一定是全是Kubernetes所编排下嘚容器网络和架构但基于云原生技术所产生的新漏洞和利用手法往往能帮蓝军打开局面。

举个例子当我们通过远控木马获取某个集群管理员P上的 kubeonfig 文件 （一般位于 ~/.kube/onfig 目录），此时我们就拥有了管理Kubernetes集群的所有能力了具体能做的事情后面会有更详细的探讨。如果此时该集群沒有设置严格的 seurity poliy 且目标企业的HIDS没有针对容器特性进行一定策略优化的话那创建一个能获取NODE权限的POD或许就是一个不错的选择，因为只有这樣获取的shell才能更方便的在容器母机上进行信息收集例如 strae 母机 sshd 进程抓取我们想要的用户名和密码、使用 tpdump 抓取内网系统的管理员登录态等，目前正在运行的容器一般是没有这些权限的

以下是这种情况下我们常用的 POD yaml 配置：

如果对Kubernetes的POD不熟悉，其实上述的配置就比较类似于在想要ROOT權限的业务服务器上执行以下 doker 命令:

执行的结果和作用如下(注：所有的挂载和选项并非都必须实战中填写需要的权限和目录即可，此处提供一个较全的参考)：

当然上述大部分配置都会被多租户集群下的 Kubernetes Seurity Poliy 所拦截且如果目前主机上的HIDS 有一定容器安全能力的话，这类配置的容器創建行为也比较容易会被标记为异常行为不过，显然我们在真实的对抗中如果只是想达到执行 strae 抓取 sshd 的目的配置可以更加简化一点，只需添加 SYS_PTRAE 的 apabilities 即可我在演习中也正是这么做的。因为具有 SYS_PTRAE 权限的容器并且进行 kubetl exe 的行为在实际的研发运维流程中非常常见是HIDS比较不容易察觉嘚类业务型操作；另外也可以寻找节点上已有该配置的容器和POD进行控制，同样是不易被防御团队所察觉的

接下来我们也会一个个讨论这類漏洞和手法和我们实际在对抗中遇到的场景。同时无论是在NF对云原生的定义里，还是大家对云原生技术最直观的感受大部分技术同學都会想到容器以及容器编排相关的技术，这里我们就以容器为起始开启我们今天的云原生安全探索之旅吧~

3、单容器环境内的信息收集

畢竟从内核角度看容器技术的关键就是 Group 和 Namespae，或许应该再加一个apabilities从 Group 信息中，不仅可以判断我们是否在容器内也能很方便判断出当前的容器是否在 Kubernetes 的编排环境中。

同时这里的Group信息也是宿主机内当前容器所对应的Group路径，在后续的多个逃逸场景中获取 Group 的路径是非常重要的

同類判断当前shell环境是否是容器，并采集容器内信息的还有很多举个不完全的例子：

逃逸章节所使用的技巧很多都在 DK 里有自动化的集成和实現。

至于我们实际遇到的场景可以在“容器相关组件的历史漏洞”一章中查看从攻防角度不得不说的是，这个漏洞的思路和EXP过于出名幾乎所有的HIDS都已经具备检测能力，甚至对某些EXP文件在静态文件规则上做了拉黑所以大部分情况是使用该方法就等于在一定程度上暴露了荇踪，需要谨慎使用

/neargle/VE--PO/blob/master//Kong/kong) 是目前最受欢迎的云原生 API 网关之一，有开源版和企业版两个分支被广泛应用于云原生、微服务、分布式、无服务雲函数等场景的API接入中间件，为云原生应用提供鉴权转发，负载均衡监控等能力。

我们曾经在一次渗透测试中使用Kong的远程配置能力突破外网进入到内网环境中可以参考之前的预警文章：《腾讯蓝军安全提醒：开源云原生API网关 Kong 可能会成为攻击方进入企业内网的新入口(VE-)》

Kong 使用 Kong Admin Rest API 作为管理 Kong Proxy 能力的关键入口，以支持最大程度的灵活性；在开源分支里这个管理入口是没有鉴权能力的(Kong企业版支持对 Kong Admin Rest API 进行角色控制和鑒权)，Kong建议用户在网络层进行访问控制；当攻击方可以访问到这个 API他就具有了 Kong Proxy 的所有能力，可以查看和修改企业当前在南北流量管理上嘚配置可以直接控制 API 网关使其成为一个开放性的流量代理(比SSRF更便于使用和利用)；从攻击方的角度思考，控制了这个 API 等于是拥有了摸清网絡架构和打破网络边界的能力

至此，蓝军从外网发往 Kong Proxy 的流量只要 host 头带有 :443 中实际利用手法会根据内网和目标站点配置的不同而变化。

而目前 Kong 的开源分支里是不支持给 Kong Admin Rest API 添加相应的鉴权能力的只可以改变监听的网卡，或使用设置 Network Poliy、 iptables、安全组等方式进行网络上隔离现在最常見的方式就是不开放外网，只允许内网访问也因为如此，如果已经进入到内网API 网关的管理接口会成为我首要的攻击目标之一，借此我們可以摸清当前集群对内对外提供的相关能力更有可能直接获取流量出入口容器的Shell权限。

腾讯蓝军（Tenent Fore）由腾讯TEG安全平台部于2006年组建十餘年专注前沿安全攻防技术研究、实战演练、渗透测试、安全评估、培训赋能等，采用APT攻击者视角在真实网络环境开展实战演习全方位檢验安全防护策略、响应机制的充分性与有效性，最大程度发现业务系统的潜在安全风险并推动优化提升，助力企业领先于攻击者防患于未然。

自组建以来腾讯蓝军一方面实施大规模多频次内部红蓝对抗演练，覆盖网络安全、主机安全、应用安全、数据安全等多个层媔持续助力提升腾讯安全防护能力，另一方面对QQ、QQ空间、微信、支付、小程序、腾讯云、游戏等重要业务和内网基础设施开展渗透测试发现潜在安全风险，大幅提升了公司业务及系统的安全性

与此同时，腾讯蓝军还积极对外输出安全能力参与了数字广东等多个大型政企项目的安全建设工作，配合开展网络攻防演练工作做各行各业的数字化安全助手，持续为产业互联网的数字安全保驾护航

腾讯蓝軍坚持以攻促防、攻防相长，始终与时俱进走在网络安全攻防实战研究的最前沿。未来腾讯蓝军也将继续通过攻防多方视角，探索互聯网安全新方向共建互联网生态安全。

红蓝对抗中的云原生漏洞挖掘及利用实录 相关文章

1. 注：下面的示意图主要是为了辅助理解不代表内存真实情况。 Introdution 类型基础是#的基础概念了解类型基础及背后的工作原理更有助于我们在编码的时候明白数据在内存中的分配与传递。#提供了值类型和引用类型值类型如strut, 引用类型如lass。 这

2. 在多核编程中我们使用内核对象【如：事件对象（Event）、互斥量对象（Mutex，或互斥体对潒）、信号量对象（Semaphore）等】来避免多个线程修改同一个数据时产生的竞争条件 但是，基于内核对象的同步会带来昂贵的上下文切换（鼡户态切换到内核态，占用1

3. 在 ubuntu 里面用 top 命令查看正在运行的一些进程但请问怎么样查看下一页的内容啊？一页只能显示十几个进程太少了 本文章教程介绍完毕,更多请访问跳墙网其他文章教程！

4. Linux是一套免费使用和自由传播的类UNIX操作系统，主要用于基于Intelx86系列PU的计算机上.linux系统是甴全世界各地的成千上万的程序员设计和实现的其目的是建立不受任何商品化软件的版权所制约的、全世界都能自由使用的UNIX兼容产品。吔许有些准备和正在

5. Win8中的Hyper-V安装Ubuntu Windows 8正式版已经发布将近一个月的时间相信很多朋友已经体验过新一代的Windows8操作系统的一些新功能，Windows 8各种特性也逐渐展示出来比如新的UI界面、全新操作方式、IE10、文件管理窗口Explorer新的Ribbon界面等等。 当

6. 这篇教程的诞生过程实在相当纠结很长时间以来我一矗在考虑要不要写这么一篇东西，最主要的原因在于对硬件相关问题进行故障排查可能是计算机管理领域最棘手的工作即使是经验相当豐富的用户有时也会遇上自己搞不定的状况，并在试图解决那些微妙、古怪、难

7. 此页图解git中的最常用命令如果你稍微理解git的工作原理，這篇文章能够让你理解的更透彻 如果你想知道这个站点怎样产生，请前往GitHub repository 基本用法 本文章教程介绍完毕,更多请访问跳墙网其他文章教程！

8. netat 是网络工具中的瑞士军刀，它能通过TP和UDP在网络中读写数据通过与其他工具结合和重定向，你可以在脚本中以多种方式使用它使用netat命令所能完成的事情令人惊讶。 netat 所做的就是在两台电脑之间建立链接并返回两个数据流在这之后所能做的事

9. JavaSript中的this总是让人迷惑，应该是js眾所周知的坑之一 个人也觉得js中的this不是一个好的设计，由于this晚绑定的特性它可以是全局对象，当前对象或者有人甚至因为坑大而不鼡this。 其实如果完全掌握了this的工作原理自然就不会走进这些坑。来

10. 2013中国软件开发者大会（以下简称SD）于8月30-31日在北京新云南皇冠假日酒店举辦作为SDN和《程序员》杂志倾力打造、千人规模以上的顶级技术盛会，今年SD2013以软件定义未来为主题来自于国内外一线的技术精英，就大數据分析与BI、架构实践、研发管