취약점분석 (Blue Team)/Cloud

[k8s-goat] 1.Sensitive keys in codebases

poiri3r 2026. 6. 23. 17:23

이번 포스팅부터 당분간 k8s 강점기입니다.

k8s는 dvwa처럼 일부로 취약하게 만든 k8s 보안 실습용 프로젝트입니다.

 

설치는 아래 명령어로 가능합니다.

helm을 미리 설치해둬야 합니다.

git clone https://github.com/madhuakula/kubernetes-goat.git
cd kubernetes-goat
chmod +x setup-kubernetes-goat.sh
bash setup-kubernetes-goat.sh

 

kubectl get pods를 하면 다음과 같이 뜨게됩니다.

이후엔 다음 명령어를 치면 됩니다.

bash access-kubernetes-goat.sh

127.0.0.1:1234 로 접속 가능합니다.

메뉴를 클릭해보면

시나리오별로 포트가 다르게 배정되어있습니다.

 

첫 번째 문제 설명은 개발자들은 민감한 정보를 버전관리 시스템에 commit하는 경우가 있습니다.

CI/CD와 Gitops 시스템으로 이동하면서, 코드나 커밋안에 민감정보를 찾을 수 있을거라고 하네요

1230포트로 들어갔는데 다음과 같이 떠있네요.

민감정보가 Git commit에 올라와 있다고 했으니 .git 디렉토리를 확인해보겠습니다.

.git/config에는 뭐가 있네요

기본 설정이라는 내용밖에 없긴 하지만, 민감정보를 찾을 수 있다는 내용이기도 합니다.

git-dumper라는 툴이 있어서 덤프를 떠줬습니다.

.git 폴더를 확인해보ㅔ겠습니다.

 

소스코드 보니까 웃긴게 있던데

ping  보내면 pong이 오게끔 되어있네요.

 

git log --online을 해줬습니다

이중에 d7c173a번을 보면 INcluded custom environmental variables라고 되어 있는데 이걸 읽어보겠습니다.

이렇게 바로 확인이 가능합니다.