이번 포스팅부터 당분간 k8s 강점기입니다.

k8s는 dvwa처럼 일부로 취약하게 만든 k8s 보안 실습용 프로젝트입니다.
설치는 아래 명령어로 가능합니다.
helm을 미리 설치해둬야 합니다.
git clone https://github.com/madhuakula/kubernetes-goat.git
cd kubernetes-goat
chmod +x setup-kubernetes-goat.sh
bash setup-kubernetes-goat.sh
kubectl get pods를 하면 다음과 같이 뜨게됩니다.

이후엔 다음 명령어를 치면 됩니다.
bash access-kubernetes-goat.sh

127.0.0.1:1234 로 접속 가능합니다.

메뉴를 클릭해보면

시나리오별로 포트가 다르게 배정되어있습니다.
첫 번째 문제 설명은 개발자들은 민감한 정보를 버전관리 시스템에 commit하는 경우가 있습니다.
CI/CD와 Gitops 시스템으로 이동하면서, 코드나 커밋안에 민감정보를 찾을 수 있을거라고 하네요

1230포트로 들어갔는데 다음과 같이 떠있네요.
민감정보가 Git commit에 올라와 있다고 했으니 .git 디렉토리를 확인해보겠습니다.


.git/config에는 뭐가 있네요
기본 설정이라는 내용밖에 없긴 하지만, 민감정보를 찾을 수 있다는 내용이기도 합니다.

git-dumper라는 툴이 있어서 덤프를 떠줬습니다.


.git 폴더를 확인해보ㅔ겠습니다.
소스코드 보니까 웃긴게 있던데

ping 보내면 pong이 오게끔 되어있네요.
git log --online을 해줬습니다

이중에 d7c173a번을 보면 INcluded custom environmental variables라고 되어 있는데 이걸 읽어보겠습니다.

이렇게 바로 확인이 가능합니다.
'취약점분석 (Blue Team) > Cloud' 카테고리의 다른 글
| [k8s-goat] 4. Container escape to the host system (0) | 2026.06.25 |
|---|---|
| [k8s-goat] 3.SSRF in the Kubernetes (K8S) world (0) | 2026.06.23 |
| [Cloud] K8s Resource Manifests (0) | 2026.06.23 |
| [Cloud] Kubernetes 보안 실습 시나리오 2 ( Mutating Admission Webhook ) (0) | 2026.06.17 |
| [Cloud] OWASP Kubernetes Top 10 (0) | 2026.06.17 |