OWASP/www-project-eks-goat

# OWASP EKS Goat

OWASP EKS Goat
一个专为实践安全测试和学习而设计的存在漏洞的 EKS 集群。

完整演练请访问 https://eksgoat.peachycloudsecurity.com

特性展示

Made with in India

## EKS Goat 现已成为官方 OWASP 项目！ 🔗 **查看 OWASP 页面：** [OWASP EKS Goat](https://owasp.org/www-project-eks-goat/) ## 概述

EKS Goat 现已成为官方 OWASP 项目。
一个专为实践安全测试和学习而设计的存在漏洞的 EKS 集群。

OWASP EKS Goat 是一个开源的、存在刻意漏洞的 EKS 集群，专为 AWS 云环境中的安全测试而设计。它的设计目的是： - 复现真实的 EKS 错误配置和 IAM 陷阱 - 模拟针对 EKS 原生组件的真实攻击链 - 帮助团队验证检测、响应和加固策略 - 理解从 Web 应用入侵到 ECR 滥用再到完全控制 EKS 集群的安全流程 这不是一份只读的指南或沙盒演示。这是一个可运行的、可被攻破的 EKS 实验室集群，用于探索和改进真实世界的云安全。 ## 真实场景 * 利用部署在 EKS 内部的易受攻击的 Jenkins Web 应用。 * 入侵 ECR 容器并通过镜像后门进行持久化。 * 通过 IMDSv2 元数据窃取凭据。 * 通过错误配置的 IAM 角色进行权限提升。 * 从 Pod 突破到底层 EC2 节点。 * 滥用 RBAC 进行横向移动。 * 使用 Kubescape 和 Kubebench 等工具对集群进行扫描和基准测试 * 通过 Falco 和 Tetragon 进行运行时检测测试 ## 前置条件 * GitHub Codespace * 每个参与者拥有独立的 AWS 账户，需具备管理员访问权限和已启用的计费功能（每个 AWS 账户一个 EKS 集群） - 笔记本电脑需配备更新后的浏览器（可能需要管理员权限）。 ## 实验文档 * 完整演练：[https://eksgoat.peachycloudsecurity.com/](https://eksgoat.peachycloudsecurity.com/) * 备用链接 * 如遇访问问题，请使用： [https://ekssecurity.netlify.app/](https://ekssecurity.netlify.app) ### 已记录的场景 #### 容器与镜像安全 * Docker 镜像和层分析 * 容器密钥滥用 * 使用 Hadolint、Dockle 进行静态扫描 * Docker Bench Security（CIS 基准） #### AWS ECR 利用 * ECR 镜像扫描 * 不可变标签强制执行 * 私有 ECR 枚举的凭据滥用 * 在 ECR 中植入 Docker 镜像后门 #### AWS EKS 利用 * 部署存在漏洞的 EKS 基础设施 * 元数据服务滥用（IMDSv2）窃取凭据 * Web 应用入侵到 AWS IAM 妥协 * ECR 到 EKS 集群入侵 * EKS 中的 Pod 到节点突破 * 权限提升至 S3 访问和数据泄露 * 漏洞利用后的 EC2 实例清理 #### 扫描与审计 * Kubescape 合规性评估 * Kubebench 节点安全基准测试 #### 运行时防御与加固 * AWS GuardDuty EKS 威胁告警 #### 环境生命周期 * 存在漏洞的 EKS 集群基础设施启动 * 完整基础设施拆除实验 ## 鸣谢 - [Kubernetes 架构](https://kubernetes.io/docs/concepts/architecture/) - 图片鸣谢：Offensive Security Say – Try Harder! - [Kubernetes Goat - madhuakula](https://madhuakula.com/kubernetes-goat/docs/owasp-kubernetes-top-ten/) - [vulhub](https://github.com/vulhub/vulhub/tree/master/jenkins/CVE-2024-23897) - [Amazon EKS 安全沉浸日](https://github.com/aws-samples/amazon-eks-security-immersion-day) - [eksworkshop.com - GuardDuty 日志监控](https://www.eksworkshop.com/docs/security/guardduty/log-monitoring/) - [Kubernetes 架构](https://kubernetes.io/docs/concepts/architecture/) - [Anoop Ka 的技术博客 - Kyverno](https://tech.groww.in/kyverno-a-kubernetes-native-policy-management-bdd5bc80b8ca) - [Microsoft Kubernetes 攻击矩阵](https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/) - [Datadog 安全实验室 - EKS 攻击与云身份保护](https://securitylabs.datadoghq.com/articles/amazon-eks-attacking-securing-cloud-identities) - [HackTricks AWS EKS 枚举](https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-services/aws-eks-enum) - [AWS EKS 最佳实践](https://aws.github.io/aws-eks-best-practices/security/docs/) - [Amazon EMR EKS IAM 设置](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/setting-up-enable-IAM.html) - [AWS EKS Pod 身份](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html) - [Anais URL - 容器镜像层解析](https://anaisurl.com/container-image-layers-explained/) - [GitLab - 容器安全入门指南](https://about.gitlab.com/topics/devsecops/beginners-guide-to-container-security/) - [Wiz.io Academy - 什么是容器安全](https://www.wiz.io/academy/what-is-container-security) - [JFrog 博客 - 10 个 Helm 教程](https://jfrog.com/blog/10-helm-tutorials-to-start-your-kubernetes-journey/) - [Datadog 安全实验室 - EKS 集群访问管理](https://securitylabs.datadoghq.com/articles/amazon-eks-attacking-securing-cloud-identities/#authorization-eks-cluster-access-management-recommended) - [ChatGPT - 用于改写](https://chatgpt.com) - [Okey Ebere Blessing - AWS EKS 认证与授权](https://okeyebereblessing.medium.com/how-to-configure-and-manage-authentication-and-authorization-in-aws-elastic-kubernetes-service-367a49ab3f9f) - [Microsoft 博客 - Kubernetes 攻击矩阵](https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/) - [Subbaraj Penmetsa - Amazon EKS 的 OPA Gatekeeper](https://medium.com/@subbarajpenmetsa/open-policy-agent-opa-gatekeeper-for-amazon-eks-507dd1edc72d) - [Open Policy Agent GitHub](https://github.com/open-policy-agent) - [OPA Gatekeeper 文档](https://open-policy-agent.github.io/gatekeeper/website/docs/) - [GitHub 上的 Gatekeeper 库](https://github.com/open-policy-agent/gatekeeper-library) - [CDK EKS 蓝图 - OPA Gatekeeper](https://aws-quickstart.github.io/cdk-eks-blueprints/addons/opa-gatekeeper/) - [AWS EKS 文档](https://aws.amazon.com/eks/) - [Datadog 安全实验室 - EKS 攻击与云身份保护](https://securitylabs.datadoghq.com/articles/amazon-eks-attacking-securing-cloud-identities/) - [Cloud HackTricks Kubernetes 枚举](https://cloud.hacktricks.xyz/pentesting-cloud/kubernetes-security/kubernetes-enumeration) - [Kubernetes 攻击与防御培训](https://www.linkedin.com/in/peachycloudsecurity/) - [mathewpalmer](https://matthewpalmer.net/kubernetes-app-developer/articles/kubernetes-apiversion-definition-guide.html) ## 免责声明 - 本实验，包括任何课程中呈现的信息、命令和演示仅供教育目的。未经明确授权，不得在教育课程范围之外使用这些内容来入侵或攻击任何系统。 - **本课程由讲师独立提供，不受其雇主或任何其他企业实体的背书。内容不一定反映与讲师相关的任何公司或专业组织的观点或政策。** - **培训材料的使用**：培训材料按原样提供，不提供任何保证或担保。参与者有责任应用培训期间讨论的技术或方法。培训讲师及其各自的雇主或关联公司不对所提供信息的任何滥用或误用承担责任。 - **责任**：培训讲师及其雇主和任何关联公司不对因使用本课程中提供的信息而产生的任何直接、间接、偶发或后果性损害负责。对于因使用或操作培训期间讨论的任何方法、产品、说明或想法而导致的任何人员伤害或财产、系统损害，概不负责。 - **知识产权**：本课程及所有附带材料，包括幻灯片、工作表和文档，均为培训讲师的知识产权。根据 GPL-3.0 许可证共享，要求在使用、修改或分发材料时给予培训讲师适当的署名。 - **参考**：本研讨会中引用的部分实验基于 [Amazon EKS 安全沉浸日](https://github.com/aws-samples/amazon-eks-security-immersion-day) GitHub 仓库中提供的开源材料，遵循 MIT 许可证。此外，还使用 Amazon Q、ChatGPT 和 Gemini 等 AI 工具进行了修改和修复。 - **教育目的**：本实验仅供教育目的。未经适当授权，不得攻击或测试任何网站或网络。培训讲师不对任何滥用行为承担责任。 - **使用权限**：个人可将本课程用于教学目的，但不得向学生收取费用。 ## 社区 ### 容器安全村庄倡议 | 现属于 OWASP 的一部分！ - **OWASP 项目页面：** [OWASP EKS Goat](https://owasp.org/www-project-eks-goat/) - **容器安全村庄：** [LinkedIn](https://www.linkedin.com/company/containersecurityvillage/) - **更多学习资源：** 在 [peachycloudsecurity.com](https://peachycloudsecurity.com) 探索多云安全教程、实践实验室，涵盖 GCP、AWS、Kubernetes 和 DevSecOps 的教育内容 注意：Kubernetes® 是 Linux Foundation 的注册商标。

标签：AWS, AWS安全, Chrome Headless, CSV导出, Docker, DPI, EKS安全, GitHub Advanced Security, Kubernetes安全, TGT, Web截图, 子域名突变, 安全加固, 安全学习, 安全实验环境, 安全防御评估, 容器安全, 应用安全, 攻防演练, 数据展示, 无线安全, 日志审计, 红队, 请求拦截, 足迹分析, 逆向工具, 配置错误, 靶场环境