argocd-tactics

Name: argocd-tactics
Author: wgpsec/AboutSecurity

$npx mdskill add wgpsec/AboutSecurity/argocd-tactics

Exploit ArgoCD vulnerabilities to achieve cluster takeover.

Enables Redis poisoning, SSO bypass, and unauthenticated API enumeration.
Integrates with ArgoCD APIs, Redis, OIDC, and Kubernetes manifests.
Prioritizes CVE-2024-31989 for cluster control over other exploits.
Executes malicious applications and injects manifest files directly.

SKILL.md

.github/skills/argocd-tacticsView on GitHub ↗

---
name: argocd-tactics
description: |
  ArgoCD 后渗透方法论：Redis缓存投毒集群接管、SSO认证绕过、未授权API枚举、恶意Application部署、Webhook SSRF、默认凭据利用。
  当用户提到ArgoCD漏洞、ArgoCD利用、ArgoCD RCE、ArgoCD Redis、ArgoCD未授权、ArgoCD检测、GitOps安全时，必须使用此技能。
  也适用于用户提到K8s持续交付、Kubernetes GitOps、ArgoCD集群接管、ArgoCD缓存投毒等场景。
metadata:
  tags: "ArgoCD,Kubernetes,GitOps,Redis,缓存投毒,SSO绕过,SSRF,K8s集群接管,持续交付,未授权API"
  category: "postexploit"
  mitre_attack: "T1190,T1078"
---

# ArgoCD 漏洞利用技能

- **产品**: Argo CD (Kubernetes声明式GitOps持续交付工具)
- **默认端口**: 80/443 (Web UI), 8080 (Server), 6379 (Redis)
- **识别特征**: 页面标题 "Argo CD"，`/api/v1/version` 返回版本信息
- **默认凭据**: admin / auto-generated初始密码
- **FOFA**: `app="Argo-CD"` | **Shodan**: `http.title:"Argo CD"`

## 漏洞总览

| CVE | 影响版本 | 类型 | 条件 | 危害 |
|-----|---------|------|------|------|
| CVE-2024-31989 | <2.11.5 | Redis缓存投毒→K8s接管 | Redis未认证 | Critical (9.1) |
| CVE-2022-29165 | <2.3.1 | SSO认证绕过 | 配置OIDC SSO | High (8.8) |
| CVE-2023-22482 | 多版本 | Redis信息泄露 | Redis未认证 | High (7.5) |
| CVE-2024-40638 | 多版本 | Webhook SSRF | 已认证用户 | High (7.2) |
| 默认凭据 | 全版本 | 初始admin密码 | 获取初始密码 | Critical |

## 利用决策树

```
1. 识别ArgoCD → /api/v1/version
2. 未授权API → /api/v1/applications, /api/v1/clusters
3. CVE-2024-31989 (优先) → Redis缓存投毒 → 集群接管
4. 默认凭据 → admin + 初始密码 → 完全控制
5. CVE-2022-29165 (SSO环境) → redirect_uri绕过
6. CVE-2024-40638 → Webhook SSRF
7. 已认证后利用 → 恶意Application / 注入Manifest / 越权
```

## 利用链优先级

```
1. Redis未授权 → CVE-2024-31989缓存投毒 → K8s集群接管
2. 默认凭据/弱口令 → ArgoCD完全控制
3. 未授权API → 应用/集群/仓库信息泄露
4. CVE-2022-29165 → SSO认证绕过
5. CVE-2024-40638 → Webhook SSRF → 内部服务探测
6. 已认证 → 创建恶意Application → 特权Pod部署
```

## 常用端点速查

| 端点 | 方法 | 用途 | 认证 |
|------|------|------|------|
| `/api/v1/version` | GET | 版本信息 | 不需要 |
| `/api/v1/applications` | GET | 应用列表 | 可选 |
| `/api/v1/clusters` | GET | 集群列表 | 可选 |
| `/api/v1/repositories` | GET | 仓库列表 | 可选 |
| `/api/v1/account` | GET | 账户信息 | 可选 |
| `/auth/login` | GET | 登录页面 | 不需要 |
| `Redis 6379` | - | 缓存服务 | 默认无密码 |

## 详细参考

- [检测脚本与后利用手法](references/detection-and-post-exploit.md) - 未授权API检测、综合扫描脚本、已认证后利用技术

More from wgpsec/AboutSecurity

Skill	Description
401-403-bypass	401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
ad-acl-abuse	Active Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
ad-delegation-attack	Kerberos 委派攻击（非约束/约束/RBCD）。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户，常用于域内权限提升和横向移动。
ad-domain-attack	Active Directory 域环境攻击全链路。当目标主机在域环境中（systeminfo 显示 Domain 非 WORKGROUP）、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
ad-persistence	AD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化（计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹）、域级持久化（Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder）、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
ad-trust-attack	域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权（Golden Ticket + ExtraSid）、跨林攻击（SID History/MSSQL Trust Links）、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
adcs-certipy-attack	Active Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
adinfo-enum	使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具，一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
agent-security	\|
ai-data-security	\|