Kubernetes攻防 | 容器逃逸 - Docker in Docker

已于 2023-03-15 11:30:25 修改
阅读量445 收藏
点赞数 1
分类专栏: Docker Kubernetes 文章标签: docker kubernetes 运维 云原生 容器 Powered by 金山文档
于 2023-03-15 10:17:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trollz/article/details/129546444
版权

有一种比较特殊的场景,当宿主机的 /var/run/docker.sock 被挂载到容器内时,容器可以通过 docker.sock 在宿主机里创建并配置任意容器。可以理解为创建任意权限的进程:

这种情况被称为 docker in docker 。常见于需要对当前节点进行容器管理的编排容器内。

如果你想直接尝试这种逃逸所带来的魅力,可以去试试Google自带地容器逃逸场景。你只需要科学上网再加上Google账号就可以直接使用里面的环境和代码。地址:

https://ssh.cloud.google.com/cloudshell/editor?cloudshell_git_repo=https://github.com/neargle/cloud_native_security_test_case.git

然后运行:

bash try_google_cloud/host_root.sh
当然,大多数容器内一般并不支持你去安装和运行docker client,一般获取到的镜像都是受限或是不完整的。即使使用安装包也是比较困难的。这里就可以去尝试用Go编写的的程序,进行交叉编译后不需要依赖环境,可以直接运行。

不会调制解调的猫
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker和k8s基础介绍
swimming_in_IT_的博客
04-24 3809
通常称为K8s,K8s是将8个字母“ubernete”替换为“8”的缩写)是一个完备的分布式系统支撑平台。Kubernetes具有完备的集群管理能力,包括多层次的安全防护和准入机制/多租户应用支撑能力、透明的服务注册和服务发现机制、内建智能负载均衡器、强大的故障发现和自我修复功能、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制,以及多粒度的资源配额管理能力。同时kubernetes提供了完善的管理工具,这些工具覆盖了包括开发、测试部署、运维监控在内的各个环节;
Jenkins在Pod中实现Docker in Docker并用kubectl进行部署
bluersw的博客
05-30 1391
Jenkins在Pod中实现Docker in Docker并用kubectl进行部署 准备工作 安装Jenkins Jenkins的kubernetes-plugin使用方法 说明 Jenkins的kubernetes-plugin在执行构建时会在kubernetes集群中自动创建一个Pod,并在Pod内部创建一个名为jnlp的容器,该容器会连接Jenkins并运行Agent程序,形成一个Jenkins的Master和Slave架构,然后Slave会执行构建脚本进行构建,但如果构建内容是要创建Dock
Docker - 部署 Kubernetes
yueerba126的博客
10-11 450
现在,您已经成功部署和访问了 Kubernetes Dashboard,并可以使用该界面来管理和监视您的 Kubernetes 集群。现在,您已经成功在 Docker Desktop 上启用了 Kubernetes,并可以开始使用 Kubernetes 集群进行本地开发和测试。请注意,如果您使用的是单节点集群(例如使用 kubeadm 部署的),默认情况下,主节点不会运行 pod。是 Kubernetes 管理和操作的重要工具,您可以根据需要使用不同的命令来管理 Kubernetes 集群。
Docker——Docker in Docker原理与实战
庄小焱
03-05 7588
当你在 Docker 中运行 Docker 时,外部 Docker 运行在普通文件系统(EXT4、BTRFS、你有什么)之上,但内部 Docker 运行在写时复制系统(AUFS、BTRFS、设备映射器等)之上.,取决于外部 Docker 设置使用的内容)。这看起来像 Docker-in-Docker,感觉像 Docker-in-Docker,但它不是 Docker-in-Docker:当这个容器将创建更多容器时,这些容器将在顶级 Docker 中创建。仅在必要时在Docker中使用Docker
在GitHub Codespaces中使用Docker in Docker和KinD搭建Kubernetes开发环境
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
03-05 964
启动GitHub Codespace:创建一个新的Codespace,选择适合的机器类型和资源配置。配置DinD:在Codespace中安装并配置Docker,启用DinD特性。安装KinD:安装KinD,并使用它在Docker容器中启动一个Kubernetes集群。开发与测试:在这个集群上部署应用,进行开发和测试。
(一)Docker-in-Docker on Kubernetes
ddlcdlzn20146的博客
07-02 254
1. 场景 请参考docker in docker 文章 2. DinD 我们将采用主机Docker守护程序作为外部守护程序,Docker守护程序作为内部守护程序在容器内运行。运行DinD的一个重要方面是处理Docker守护进程存储的配置和管理。 3.Case 1: Pods and DooD Kubectl create -f dood.yaml apiVersion:...
关于Docker逃逸
qq_50854662的博客
04-27 423
关于Docker逃逸
Setup Kubernetes cluster using Docker in Docker
weixin_33985507的博客
09-11 100
2019独角兽企业重金招聘Python工程师标准>>> ...
Fabric on Kubernetes using Docker-in-Docker
weixin_33852020的博客
09-10 114
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes Docker-in-Docker存储注意事项
weixin_34378922的博客
10-11 521
本文讲的是Kubernetes Docker-in-Docker存储注意事项【译者的话】本文介绍了基于Kubernetes运行Docker-in-Docker在存储方面应该注意的事项,介绍了Argo这个插件,演示了具体的流程和测试方式。鉴于在功能和性能上都表现良好,为我们开拓了一个权限的玩转Docker容器的思路。 Docker容器是运行其他工具的非常有...
PyPI 官网下载 | robotframework-docker-1.0.0.tar.gz
01-29
资源来自pypi官网。 资源全名:robotframework-docker-1.0.0.tar.gz
Kubernetes-K3D-Docker-Doc
03-08
Kubernetes K3D | 码头工人 安装Docker 安装Kubectl 安装Kd3 配置集群K3D k3d配置参数 门-p Quantidade de控制... 集群选择服务器,代理和负载平衡器,可扩展容器的外部IP服务以及kubernetes的配置。 PORTA 8080
Python库 | fmriprep-docker-1.1.2.tar.gz
04-09
资源分类:Python库 所属语言:Python 资源全名:fmriprep-docker-1.1.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | fmriprep-docker-1.4.1rc3.tar.gz
03-05
python库。 资源全名:fmriprep-docker-1.4.1rc3.tar.gz
Docker容器技术-Docker-compose简介.pptx
06-09
Docker容器技术
容器嵌套,降本增效(Docker In Docker
温玉的博客
08-09 4047
本文提供了三种从不同思路提供了容器嵌套的解决方案。使用共享宿主机 dockerd 的方式是能够快速理解和使用的一种方式,不需要进行特殊的调整和改造,在使用上可以解决一些容器嵌套的需求,但是没有提供较好的隔离。使用独立隔离的容器运行环境其实是目前相对较好的选择,他可以提供相对独立的隔离环境,特别是 minikbue 提供的 kicbase,基本实现了基于容器的 VM 虚拟机实现;但是这种方式需要 root 特权,在网络安全要求较高的情况下需要进行特殊的处理。...
Kubernetes攻防 | 容器逃逸 - 创建cgroup
Trollz的博客
03-15 567
Kubernetes attack and defense | container escape - create cgroup
Docker in Docker
云原生,DevOps,Kubernetes
11-13 910
场景:jenkins slave运行在基于openshift或k8s的容器中,构建过程需要build 应用程序的docker image并push到docker 仓库,此时就需要docker命令。 安装docker命令比较简单,但是运行docker build 命令需要启动docker服务。 docker in docker 基本上有两种实现方式。 一是挂载/var/run/docker.so...
浅谈容器逃逸
key_3_feng的博客
05-17 2649
- docker images: - docker rmi - docker pull - docker push - docker save - docker load
02-23
Docker images是Docker中的一个重要概念它是用于创建Docker容器的基础。一个Dock image是一个只读的模板,包含了运行一个容器所需的所有文件系统、代码和依赖项。 下是对于您提到的几个D命令的介绍1. docker rmi:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不会调制解调的猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值