该博客介绍了如何导出Docker镜像并使用binwalk进行分析。通过`docker save`命令导出镜像为exp:v1,并利用binwalk提取镜像文件。内容涉及到Docker基于overlayfs的文件系统,以及如何查看最顶层文件。作者还展示了如何查找并解析可能包含敏感信息的哈希部分,以及如何检查初始化命令和工作目录。整个过程对于理解Docker镜像的内部结构和安全评估具有指导意义。
导出镜像
导出exp镜像
docker save exp:v1 -o exp.bin
安装binwalk
apt install binwalk
提取镜像查看文件
binwalk -e -M exp.bin
最后解析成如下:
类似于哈希的部分如下有三块
docker 基于overlayfs的文件系统,新的文件在最顶部
查看最顶部文件
可以看到类似于是一个文件根目录系统
可以通过以下几条命令查看初始化命令,工作目录等
在上一层overlay目录中找到sh
参考:https://sysdig.com/blog/triaging-malicious-docker-container/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
