- 博客(657)
- 资源 (3)
- 收藏
- 关注
RSS订阅
原创 AD域安全攻防实践(附攻防矩阵图)
以域控为基础架构,通过域控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对域控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把域环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD域攻防矩阵图。(1)域内信息收集当攻击者获得内网某台域...
2023-03-11 18:01:16
3629
1
原创 基于Falco实现运行时入侵检测
Falco 是一个开源的运行时安全检测引擎,可在主机、容器、K8s 和云环境中提供运行时安全性,实时检测异常行为和潜在安全威胁并发出警报。本文以Centos为测试环境,在宿主机上安装Falco,并在K8s中集成Falco。在容器运行的过程中,攻击者可能会入侵容器应用,进行容器逃逸等攻击行为。(1)在cenos上,导入 Falco GPG 密钥,配置yum存储库,更新软件包列表,安装falco。在本篇文章中,我们将介绍如何安装Falco并自定义检测规则来进行容器运行时的入侵检测。(3)配置Falco。
2025-03-31 21:47:01
407
原创 《云原生安全攻防》-- K8s容器安全:使用gVisor构建安全沙箱运行环境
传统的容器与宿主机共享同一个内核,一旦内核出现漏洞,攻击者就可以利用内核漏洞进行容器逃逸。为了解决容器和宿主机之间的安全隔离问题,我们可以采用容器沙箱技术,将宿主机和容器进行有效隔离,保护宿主机的安全。而gVisor就像一个中间层,对容器和宿主机内核之间的访问进行隔离,以最大限度地降低容器逃逸漏洞的风险。gVisor是Google的一个开源项目,它为容器提供了一个安全的虚拟化沙箱环境,用于增强容器的安全性并减少对宿主机内核的直接依赖。我们将一起来学习使用gVisor构建一个安全的沙箱运行环境。
2025-03-26 00:01:08
281
原创 《云原生安全攻防》-- K8s容器安全:权限最小化与SecurityContext
在本节视频中,我们将详细介绍了权限最小化与SecurityContext的概念, 了解privilege特权模式带来的安全风险,使用Capabilities来限制容器对宿主机特权的访问、使用seccomp来限制容器的系统调用、使用AppArmor来限制容器对资源的访问。为了减少潜在的安全风险,我们需要进行权限最小化,为容器分配尽可能少的权限,仅赋予执行操作所必需的权限。一旦容器被入侵,攻击者就可以获取到容器的权限,所以,容器运行过程中,我们首先需要考虑的是容器的权限问题。:限制容器对资源的访问。
2025-03-25 22:04:41
469
原创 《云原生安全攻防》-- K8s镜像安全:镜像全生命周期安全管理
从攻击者的角度来看,针对容器镜像的软件供应链攻击和镜像投毒等攻击方式,不仅攻击成本低,而且还能带来更高且持久的收益。因此,镜像安全问题变得日益突出。在本节课程中,我们将深入探讨镜像全生命周期的安全管理,通过提升镜像的安全性,从而确保容器在K8s环境中的安全稳定运行。在这个课程中,我们将学习以下内容:镜像安全风险:在整个生命周期中,镜像可能面临多种安全风险,这些安全风险可能出现在任何一个环节。镜像全...
2025-02-15 17:08:44
503
原创 《云原生安全攻防》-- K8s安全配置:CIS安全基准与kube-bench工具
在本节课程中,我们来了解一下K8s集群的安全配置,通过对CIS安全基准和kube-bench工具的介绍,可以快速发现K8s集群中不符合最佳实践的配置项,及时进行修复,从而来提高集群的安全性。在这个课程中,我们将学习以下内容:CIS安全基准:安全配置的最佳实践,可以加固K8s,确保K8s符合安全配置的最佳实践。kube-bench工具:以CIS Kubernetes Benchmark为基础,自动化...
2024-12-29 15:51:37
590
原创 《云原生安全攻防》-- K8s安全框架:认证、鉴权与准入控制
从本节课程开始,我们将来介绍K8s安全框架,这是保障K8s集群安全比较关键的安全机制。接下来,让我们一起来探索K8s安全框架的运行机制。在这个课程中,我们将学习以下内容:K8s安全框架:由认证、鉴权和准入控制三个关键阶段组成,通过这样的机制,可以确保对K8s系统资源的安全访问。认证(Authentication):用来验证请求者的身份,支持多种认证方式。鉴权(Authorization):检查请求...
2024-12-17 08:01:10
404
原创 《云原生安全攻防》-- K8s安全防护思路
从本节课程开始,我们将正式进入防护篇。通过深入理解K8s提供的多种安全机制,从防守者的角度,运用K8s的安全最佳实践来保障K8s集群的安全。在这个课程中,我们将学习以下内容:K8s安全防护思路:掌握K8s自身提供的安全机制,引入一些开源的云原生安全工具来提供额外的安全能力。我们来介绍一下K8s整体的安全防护思路,将K8s在不同层面存在的安全风险与解决安全问题的核心思路相结合,构建一个体系框架,来帮...
2024-11-11 08:00:27
402
原创 《云原生安全攻防》-- K8s攻击案例:权限维持的攻击手法
在本节课程中,我们将一起深入了解K8s权限维持的攻击手法,通过研究这些攻击手法的技术细节,来更好地认识K8s权限维持所带来的安全风险。在这个课程中,我们将学习以下内容:K8s权限维持:简单介绍K8s权限维持的方式。攻击案例:具体的攻击细节常见的K8s权限维持的攻击案例。K8s有很多方式实现权限维持,从全局视角看,K8s是在基础设施层和容器引擎层之上的容器编排平台。在K8s环境中,一旦K8s集群被攻...
2024-10-20 18:01:09
678
原创 《云原生安全攻防》-- K8s攻击案例:从Pod容器逃逸到K8s权限提升
在一个完整的K8s攻击链路里,攻击者往往会通过入侵容器应用拿到shell权限,作为起始攻击点,随后从容器中逃逸到宿主机,获取宿主机权限。接下来,攻击者会进一步攻击k8s集群的组件或窃取高权限凭证完成K8s权限提升。在本节课程中,我们将介绍一个完整K8s攻击链路的案例,其中包括了从web入侵到容器逃逸,再到K8s权限提升的过程。第一个思路:攻击K8s集群的组件,通过利用这些组件的漏洞或不安全配置来获取对集群的控制权。2、案例解析:构建演示完整K8s攻击链路的攻击环境,深入分析具体的攻击细节。
2024-10-09 09:30:59
924
原创 《云原生安全攻防》-- K8s攻击案例:高权限Service Account接管集群
在本节课程中,我们将学习一个K8s攻击案例,高权限Service Account接管集群。如果攻击者获取到有效的凭证,就有可能通过凭证来接管整个K8s集群。在这个课程中,我们将学习以下内容:K8s的认证方式:介绍两种比较常见的身份认证方式,UserAccount和ServiceAccount。K8s身份认证攻击案例:深入分析具体的攻击细节,了解攻击者是如何获取凭证并利用凭证来接管集群的。首先,我们...
2024-09-02 08:01:38
484
1
原创 《云原生安全攻防》-- K8s攻击案例:组件未授权访问导致集群入侵
在本节课程中,我们将一起探讨K8s组件未授权访问导致集群入侵的攻击案例。K8s的组件的配置不安全,就有可能存在未授权访问的安全风险。如果攻击者能够成功进行未授权访问,就有可能导致整个集群节点遭受入侵。在这个课程中,我们将学习以下内容:K8s组件未授权访问:常见的K8s组件未授权访问漏洞介绍。K8s组件未授权攻击案例:深入分析K8s组件未授权访问的攻击案例。我们将重点介绍以下几个常见的组件未授权访问...
2024-08-27 23:01:57
756
原创 《云原生安全攻防》-- 容器攻击案例:镜像投毒与Fork炸弹
在本节课程中,我们将介绍两个比较有意思的容器攻击案例,镜像投毒与Fork炸弹。在这个课程中,我们将学习以下内容:镜像投毒:构建恶意镜像,诱导用户拉取镜像创建容器。Fork炸弹:Fork炸弹的攻击原理及防范措施。我们来介绍镜像投毒。攻击者将恶意代码注入到镜像文件中,构建出恶意镜像,当用户拉取到恶意镜像并运行容器时,恶意代码就会在容器启动过程中被执行,从而获取对容器环境的访问权限。与攻击容器应用相比,...
2024-07-20 16:53:36
591
原创 《云原生安全攻防》-- 容器攻击案例:Docker容器逃逸
当攻击者获得一个容器环境的shell权限时,攻击者往往会尝试进行容器逃逸,利用容器环境中的错误配置或是漏洞问题,从容器成功逃逸到宿主机,从而获取到更高的访问权限。在本节课程中,我们将详细介绍一些常见的容器逃逸方式,包括相应的检测方法和利用方式,帮助大家了解容器逃逸这种攻击手法的更多攻击细节。在这个课程中,我们将学习以下内容:常见容器逃逸方式:容器逃逸方式分类和简介。容器逃逸案例:详细介绍多个场景下...
2024-07-14 11:58:40
978
原创 《云原生安全攻防》-- 容器环境下的攻击行为
在本节课程中,我们将以攻击者的视角来深入探讨容器环境下的攻击行为,并揭示攻击者在容器环境中的各种攻击细节。在这个课程中,我们将学习以下内容:攻击容器环境:模拟容器内应用入侵的场景。容器环境下的攻击行为:容器环境下的攻击行为以及常用的手法,与传统Linux环境下攻击行为的差异。在攻击容器环境时,攻击者通常可以入侵容器内的应用或是恶意镜像等方式,来获得容器内的Shell权限。攻击者以容器内的Shell...
2024-06-06 20:31:59
472
1
原创 《云原生安全攻防》--快速识别虚拟机、Docker和K8s集群环境
今天我们将一起学习一个非常实用的技巧,快速识别云原生环境。对于攻击者而言,随着云原生应用普及,当攻击者获得一个shell权限时,那么这个shell可能处于虚拟主机里,也有可能在一个Docker环境里,或者在K8s集群环境的一个pod里面。在这种情况下,快速准确地识别当前环境对于攻击者来说非常关键,可以帮助助他们采取恰当的攻击策略。比如当shell权限在虚拟主机环境中,攻击者通常会寻求横向移动以扩大...
2024-05-25 16:35:11
658
原创 《云原生安全攻防》-- 构建云原生攻防场景
在本节课程中,我们将学习云原生攻防场景的构建。为了研究云原生安全攻击案例,我们需要搭建一个云原生攻击测试环境,以便进行攻防研究和攻击手法的复现。在这个课程中,我们将学习以下内容:构建云原生攻防场景:选择模拟的攻击目标,形成完整的攻击路径,以便学习如何攻击过程中的漏洞利用技术和防御策略。快速搭建K8s集群环境:通过一步步的演示,学习如何快速搭建K8s集群环境,为学习和实践云原生安全提供基础环境。云原...
2024-05-13 21:26:24
506
原创 《云原生安全攻防》-- 云原生攻防矩阵
在本节课程中,我们将开始学习如何从攻击者的角度思考,一起探讨常见的容器和K8s攻击手法,包含以下两个主要内容:云原生环境的攻击路径: 了解云原生环境的整体攻击流程。云原生攻防矩阵: 云原生环境攻击路径的全景视图,清晰每一步采取的攻击技术。在这里,我们梳理了一条相对完整的云原生环境的攻击路径,如图所示,通过这张图,我们可以清晰地看到整个攻击流程,大致可以将攻击路径拆分为六个步骤。初始访问:攻击者通过...
2024-04-14 17:00:33
655
1
原创 《云原生安全攻防》-- 云原生应用风险分析
为了满足每位朋友的学习需求,并且支持课程的持续更新,本系列课程提供了免费版和付费视频版两种方式来提供课程内容。我们会持续更新课程内容,以确保内容的度和实用性。在本节课程中,我们将一起探讨云原生应用在新的架构模式下可能存在的应用安全风险。包括以下内容:云原生应用:了解云原生应用以及新的应用架构模式。微服务安全风险:与传统单体应用架构对比,微服务架构模式存在的安全风险。ServerLesss安全风险:...
2024-04-06 15:36:53
1252
1
原创 《云原生安全攻防》-- K8s集群安全风险分析
在这个数字化快速发展的年代,云原生安全变得越来越重要。我明白对于很多朋友来说,这是一个既新奇又复杂的领域。因此,我整合了以往的专业积累,精心打造了一个专门讲解云原生安全的系列课程,目的是能给大家带来有价值的知识解析。为了让每位朋友都能找到适合自己的学习方式,同时支持课程能持续地更新下去,我决定这样安排课程内容和形式:免费版:通过采用图文形式简洁明了地概述每个课程的关键知识点,适合快速获取云原生安全...
2024-03-29 20:19:07
802
原创 《云原生安全攻防》-- 容器安全风险分析
在本节课程中,我们将提供一个全面的视角,来深入探讨容器环境下的安全风险,帮忙大家建立起容器环境下安全风险的整体认知。在这个课程中,我们将学习以下内容:容器技术概述:什么是容器技术以及它解决了什么问题。探索容器架构:深入了解容器、镜像、镜像仓库等核心概念。安全风险分析:逐层分析容器架构,识别各层面可能存在的安全风险。容器将集装箱思想引入到软件交付中,通过这种方式,来解决本地运行环境与生产运行环境不一...
2024-02-02 21:24:51
727
原创 《云原生安全攻防》-- 云原生安全概述
从本节课程开始,我们将正式踏上云原生安全的学习之旅。在深入探讨云原生安全的相关概念之前,让我们先对云原生有一个全面的认识。什么是云原生呢?云原生(Cloud Native)是一个组合词,我们把它拆分为云和原生两个词来看。“云”表示应用程序运行于分布式云环境中,而“原生”则强调应用程序在设计之初就充分考虑到了云平台的弹性和分布式特性。随着云原生技术的飞速前进,容器化和微服务架构已成为现代应用开发的标...
2024-01-31 21:36:25
1259
原创 《云原生安全攻防》-- 课程大纲
我决定整合以往的专业积累,构建一个完整的云原生安全知识体系,以视频的方式提供更专业的技术内容,为此花费了不少时间思考技术体系和筹备细节上,希望它可以成为我24年的代表作品吧。
2024-01-27 20:15:30
477
原创 K8s攻击案例:Dashboard未授权访问
Dashboard 在配置不当情况下有可能会产生未授权访问的情况,从而有可能进一步造成接管集群。(1)攻击场景在deployment中开启enable-skip-login,那么就可以在登录界面点击跳过登录进dashboard。将默认的Kubernetes-dashboard绑定cluster-admin,拥有管理集群管权限kubectl create clusterrolebind...
2024-01-02 09:18:00
720
原创 K8s攻击案例:kube-proxy不安全配置
通过使用kube-proxy暴露未授权访问的服务或组件,可能会形成外部攻击入口点,从而导致集群被入侵。(1)攻击场景使用kubectl proxy命令设置API server接收所有主机的请求。kubectl --insecure-skip-tls-verify proxy --accept-hosts=^.*$ --address=0.0.0.0 --port=8009(2)攻击...
2024-01-02 09:16:00
570
原创 K8s攻击案例:etcd 未授权访问
etcd 用于存储K8s集群中的所有配置数据和状态信息,如果管理员配置不当,导致etcd未授权访问的情况,那么攻击者就可以从etcd中获取secrets&token等关键信息,进而通过kubectl创建恶意pod从而接管集群。(1)攻击场景将client-cert-auth=true 改为false,把listen-client-urls监听修改为0.0.0.0,将端口被暴露出去,导...
2024-01-02 09:14:00
1035
原创 K8s攻击案例:kubelet未授权访问
kubelet会在集群中每个节点运行,对容器进行生命周期的管理,如果kubelet配置不当,攻击者可创建恶意Pod尝试逃逸到宿主机。(1)攻击场景anonymous默认为false,修改为true,并将mode从Webhook修改为AlwaysAllow。vi /var/lib/kubelet/config.yamlanonymous: enabled: trueauthor...
2024-01-02 09:11:00
622
原创 K8s攻击案例: API Server未授权访问
API Server 是集群的管理入口,任何资源请求或调用都是通过kube-apiserver提供的接口进行。默认情况下,API Server提供两个端口服务,8080和6443,配置不当将出现未授权访问。8080端口,默认不启动,无需认证和授权检查,一旦暴露将导致未授权访问。6443端口,默认启动需要认证,如果出现配置错误,将system:anonymous用户绑定到cluster-adm...
2024-01-02 09:07:00
667
原创 K8s攻击案例:组件未授权访问导致集群入侵
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
2023-12-25 11:09:15
8758
1
原创 K8s攻击案例:Privileged特权容器导致节点沦陷
01、概述特权容器(Privileged Container)是一种比较特殊的容器,在K8s中运行特权容器,需要将Privileged 设为 true ,容器可以执行几乎所有可以直接在主机上执行的操作。基于此,利用容器的特权配置可以获取容器所在节点的权限,甚至从节点权限提升至集群管理员权限。02、攻击场景编写yaml文件,在securityContext中加入参数,将privileged设置为t...
2023-12-19 21:10:54
7700
原创 K8s攻击案例:RBAC配置不当导致集群接管
01、概述Service Account本质是服务账号,是Pod连接K8s集群的凭证。在默认情况下,系统会为创建的Pod提供一个默认的Service Account,用户也可以自定义Service Account,与Service Account关联的凭证会自动挂载到Pod的文件系统中。当攻击者通过某个web应用获取到一个Pod权限时,如果RBAC权限配置不当,Pod关联的Service Acco...
2023-12-18 19:12:25
7063
原创 镜像安全扫描工具
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。1、TrivyTrivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。...
2023-11-07 08:03:09
453
原创 Docker 恶意挖矿镜像应急实例
01、概述当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时,需要快速响应和排查,以阻止进一步的损害。面对docker容器的场景下,如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路,用于排查运行多个Docker容器的主机中可能存在的恶意挖矿容器。02、定位容器在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接...
2023-09-14 20:25:19
7239
原创 如何从Docker镜像中提取恶意文件
当发生容器安全事件时,需要从容器或镜像中提取恶意文件进行分析和处理。本文主要介绍3种常见的方法:(1) 从运行的容器中复制文件首先,需要从镜像运行启动一个容器,然后,使用docker cp命令从容器中提取文件到宿主机。docker run -d --name test test:v1.0 //运行容器docker cp test:/tmp/evil.sh /tmp/eill.shdocker...
2023-09-12 08:00:41
347
原创 Docker镜像解析获取Dockerfile文件
01、概述当涉及到容器镜像的安全时,特别是在出现镜像投毒引发的安全事件时,追溯镜像的来源和解析Dockerfile文件是应急事件处理的关键步骤。在这篇博客中,我们将探讨如何从镜像解析获取Dockerfile文件,这对容器安全至关重要。02、环境准备利用Dockfile构建一个反弹shell的恶意镜像:FROM ubuntu:20.04RUN apt-get update &&\...
2023-09-07 20:16:09
979
原创 Ubuntu 20.04 LTS 安装Kubernetes 1.26
1、环境配置(1)添加主机名称解析记录cat > /etc/hosts << EOF192.168.44.200 master01 master01.bypass.cn192.168.44.201 node01 node01.bypass.cn192.168.44.202 node02 node02.bypass.cnEOF(2)禁止K8s使用虚...
2023-09-02 21:54:00
788
原创 Docker容器挖矿应急实例
01、概述很多开源组件封装成容器镜像进行容器化部署在提高应用部署效率和管理便捷性的同时,也带来了一些安全挑战。一旦开源系统出现安全漏洞,基于资产测绘就很容易关联到开源组件,可能导致被批量利用。在本文中,我们将分享一个真实的Docker容器应急实例,涉及到基于开源组件漏洞披露的前后时间段内,容器遭遇挖矿程序植入的情况。我们将深入分析排查过程,还原入侵的步骤和手段,帮助读者了解应对挖矿程序入侵的实际应...
2023-08-07 08:02:28
705
原创 K8s安全配置:CIS基准与kube-bench工具
01、概述K8s集群往往会因为配置不当导致存在入侵风险,如K8S组件的未授权访问、容器逃逸和横向攻击等。为了保护K8s集群的安全,我们必须仔细检查安全配置。CIS Kubernetes基准提供了集群安全配置的最佳实践,主要聚焦在两个方面:主节点安全配置和工作节点安全配置。主节点安全配置涵盖了控制平面节点配置文件、APIServer、Controller Manager、Scheduler、etcd...
2023-07-30 16:28:55
1444
原创 AD域安全之旅(微课程)
通过借助ChatGPT优化内容和文案,将我的声音训练成AI模型,实现将文本转换成声音,再结合PPT和剪辑技巧,就可以轻松制作出简单的微课程。
2023-07-24 19:35:56
279
原创 如何快速判断是否在容器环境
在渗透测试过程中,我们的起始攻击点可能在一台虚拟机里或是一个Docker环境里,甚至可能是在K8s集群环境的一个pod里,我们应该如何快速判断当前是否在容器环境中运行呢?当拿到shell权限,看到数字和字母随机生成的主机名大概率猜到在容器里了,查看进程,进程数很少,PID为1的进程为业务进程,这也是容器环境的典型特征。当然,以上这两种都是比较主观的判断。接下来,我们再来盘点下比较常用的几种检测...
2023-06-30 16:48:00
6286
AD域内委派后门详解-1
2023-06-19
三步轻松理解Kerberos协议
2023-06-19
应急响应实战笔记_2020最新版.pdf
2020-06-24
WAF攻防实战笔记v1.0--Bypass.pdf
2020-03-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人