ocker container escape check || Docker 容器逃逸检测

最新推荐文章于 2024-08-05 16:29:00 发布
最新推荐文章于 2024-08-05 16:29:00 发布
阅读量3.2k 收藏 3
点赞数
文章标签: docker java python linux android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36584013/article/details/123896238
版权

中文 | EN

介绍

这个脚本用来检测 Docker 容器中的逃逸方法,目前支持以下几种方法:

  1. 处于特权模式
  2. 挂载了 Docker Socket
  3. 挂载了 Procfs
  4. 挂载了宿主机根目录
  5. 开启了 Docker 远程 API 访问接口
  6. CVE-2016-5195 DirtyCow 脏牛漏洞
  7. CVE-2020-14386
  8. CVE-2022-0847 DirtyPipe

使用

在 Docker 容器中一键运行:

wget https://raw.githubusercontent.com/teamssix/container-escape-check/main/container-escape-check.sh -O - | bash

或者克隆项目到容器中运行:

git clone https://github.com/teamssix/container-escape-check.git
cd container-escape-check
chmod +x container-escape-check.sh
./container-escape-check.sh

注意:

  • 这个脚本需要在 Docker 容器中运行
  • 这里的检测方法大多是基于我自己的经验,可能会存在检测误检或者漏检的情况,如果您发现了这种情况,欢迎提 Issue
  • 由于有的逃逸方法需要根据目标 Docker 的版本去判断,这里我暂时还没想到从容器内部获取 Docker 版本的方法,因此脚本暂时还不支持这块儿的检测。
    本文转载至以下公众号。

img

xyongsec
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker容器运行ASP.NET Core的实现步骤
10-17
主要介绍了Docker容器运行ASP.NET Core的实现步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker-compose-ui:Docker Compose的Web界面
02-02
它是什么Docker Compose UI是Docker Compose的Web界面。 该项目的目的是在Docker Compose之上提供最小的HTTP API,同时保持与Docker Compose CLI的完全互操作性。 该应用程序可以作为单个容器部署,没有依赖关系,也...
Docker 容器重命名
ideal-lingyun
04-12 1249
Docker 容器重命名
docker逃逸方法汇总与简要分析
白帽黑客鹏哥的博客
06-18 1037
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,它允许用户通过RESTful API与Docker引擎进行交互,这意味着开发人员可以使用HTTP请求来远程管理和控制Docker引擎,包括创建、启动、停止和删除容器,构建和管理镜像,以及执行其他与Docker相关的操作。
给已存在的docker容器修改端口映射
记录、分享、合作、共赢
04-03 536
【代码】给已存在的docker容器修改端口映射。
查看Docker容器是否设置了开机启动
山海有灵的专栏
09-06 929
container_name为容器名称或ID。如果该容器已经设置为开机自启,输出。如果没有设置,则会输出。
DockerDocker Container(容器)
大三小白C++进阶之路
02-12 3209
Docker Container的简单介绍和基本命令
使用Docker容器技术搭建Tinyshop电子商城
葡萄糖的博客
05-28 639
使用Docker技术简单部署业务
Docker 恶意挖矿镜像应急实例
09-14 6995
01、概述当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时,需要快速响应和排查,以阻止进一步的损害。面对docker容器的场景下,如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路,用于排查运行多个Docker容器的主机中可能存在的恶意挖矿容器。02、定位容器在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接...
四.docker容器管理
Yu980808的博客
06-07 214
-------------------------------------------docker容器管理-------------------------------------------------- 工作中常用的容器管理常用命令
【初识 Docker | 基础篇】 Docker 安装
~~~~~~~BUG FLY~~~~~~~~~
06-15 3333
Docker 并非是一个通用的容器工具,他依赖于已存在并运行的 Linux 内核环境。 2.配置yum资源库 安装 yum-utils 软件包( yum-util提供yum-config-manager功能 ),执行命令 : 设置stable镜像仓库: 这里使用官方地址,可能会出现报错 我们可以使用阿里云镜像地址,执行命令 3.安装 Docker 引擎 安装最新版本的: 执行命令 ,此时,默认安装的docker引擎、客户端都是最新版本。如果要指定版本安装,需要加上版本号:查询版本列表: 指定版本安装: 执
【云原生 | Docker 高级篇】07、Docker compose 容器编排
Stars.Sky 的博客
10-12 713
Docker-compose 容器编排详解!!!
docker镜像迁移.docx
07-17
ocker镜像可以理解为VM模板,VM模板就像停止运行的VM,而Docker镜像就像停止运行的容器;而作为一名研发人员,则可以将镜像理解为类(Class)。首先需要先从镜像仓库服务中拉取镜像。常见的镜像仓库服务是Docker Hub...
docker-compose-linux-aarch64
12-14
Docker是一个开源的应用容器引擎,它允许开发者打包他们的应用及其依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows机器上,也可以实现虚拟化。而Docker Compose则是Docker的一个工具,用于定义和...
docker.service启动报错的一次排查详解
01-20
docker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; disabled; vendor preset: disabled) Drop-In: /etc/systemd/system/docker.service.d └─...
关于gunicorn+flask+docker模型的高并发部署
七夜的博客
08-02 627
Gunicorn+Flask+Docker模型结合了Flask的轻量级和灵活性、Gunicorn的高并发处理能力以及Docker容器化优势,为现代Web应用提供了一种高效、可扩展的部署方式。Flask是一个使用Python编写的轻量级Web应用框架,它易于上手且扩展性强。Flask提供了路由、模板、静态文件处理等功能,并支持通过扩展添加额外的功能,如数据库访问、表单验证等。2.Gunicorn。
Windows使用wsl安装docker-desktop
qq_42168462的博客
08-05 567
Windows使用WSL安装Docker-Desktop
Docker资源隔离的实现策略以及适用场景
最新发布
xu710263124的博客
08-05 395
docker资源隔离
Docker 环境下使用 Traefik v3 和 MinIO 快速搭建私有化对象存储服务
折腾技术
08-05 430
本篇文章,聊聊 MinIO 的单独使用,以及结合 Traefik 完成私有化 S3 服务的基础搭建。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值