分享:一款可以检测容器逃逸风险的开源工具

最新推荐文章于 2024-04-11 21:22:35 发布
最新推荐文章于 2024-04-11 21:22:35 发布
阅读量395 收藏
点赞数
分类专栏: 问脉Tools 文章标签: 开源 运维 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742792/article/details/129284919
版权

文章目录

​1、前言

什么是容器逃逸?

所谓容器技术,是在操作系统层实现虚拟化,容器内所有进程都依赖于宿主机内核,相比于传统虚拟化技术(如 VMware 等)更加轻量级。同时容器利用操作系统自身机制如 Namespace 和 CGroup等,提供了相对独立的应用程序运行环境和资源控制。

其中,每一个容器都拥有一个独立的进程运行空间,理想情况下,容器中的进程只能在该容器的进程运行空间中运行。若容器中存在「有恶意进程脱离容器」的进程运行空间,继而对宿主机或其他容器展开攻击,这种现象被称为容器逃逸。

目前产生逃逸的原因总共有三种:
1. 由内核漏洞引起。
2. 由 docker 软件设计引起。
3. 由特权模式与配置不当引起。

基于上述三种产生逃逸的原因,veinmind-tools 收集了每种逃逸原因对应的逃逸细节,提取并整合其逃逸原理及方式,并据此制定了完备详尽的安全检测规则以实现对于容器以及镜像的逃逸风险检测,旨在避免由于容器逃逸所导致的进一步损害。在此基础上,veinmind-tools 项目添加了一个新的插件,veinmind-escalate

2、veinmind-escalate 功能介绍

最低0.47元/天 解锁文章
问脉团队·VeinMind
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
发现一款容器逃逸漏洞利用神器!
12-28 4万+
有在关注容器逃逸漏洞,最近在github上发现了一款零依赖Docker/K8s渗透工具包,集成了多个漏洞PoC/EXP,可轻松逃脱容器并接管K8s集群。CDK- 零依赖Docker/K8...
探索容器安全的新维度:Veinmind-Tools
最新发布
gitblog_00016的博客
05-13 995
探索容器安全的新维度:Veinmind-Tools 项目地址:https://gitcode.com/chaitin/veinmind-tools Veinmind-Tools一款由长亭科技自研并由牧云团队孵化的创新性容器安全解决方案,旨在为云原生环境提供精细化的安全扫描与管理服务。其名字“问脉”,取义于中医的“望闻问切”诊断方式,象征着对容器安全问题的深度洞察与精准治理。 项目介绍 Vei...
容器逃逸检测
SHELLCODE_8BIT的博客
12-29 680
使用 eBPF 逃逸容器技术分析与实践 (seebug.org) 一个存在了15年可导致容器逃逸的最新漏洞详解 漏洞分析|RunC TOCTOU逃逸CVE-2021-30465分析 五种方式教你用特权容器逃逸 从Docker容器逃逸出来 ...
容器逃逸提权工具 ESCAPE.sh
qq_40432713的博客
08-06 870
Escape.sh v1.0 是一款用shell脚本编写的容器逃逸向量枚举脚本,使用起来简单方便,对提权向量的分析和展示清晰明了。鉴于当前虽然各类主机提权向量枚举脚本较多(如linpeas.sh、LinEnum.sh等),但虚拟化逃逸脚本基本没有,初级渗透测试人员面临容器环境很难有下一步提权操作的思路,导致无从下手。故开发此脚本用于辅助渗透测试人员在容器内拥有一定权限(root)后进一步进行容器逃逸的提权操作。......
新近爆出的runC容器逃逸漏洞,用户如何面对?
weixin_33912445的博客
02-13 223
runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。 2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/list... )披露了runc容器逃逸漏洞的详情,根据Ope...
ocker container escape check || Docker 容器逃逸检测
qq_36584013的博客
03-23 3226
中文 | EN 介绍 这个脚本用来检测 Docker 容器中的逃逸方法,目前支持以下几种方法: 处于特权模式 挂载了 Docker Socket 挂载了 Procfs 挂载了宿主机根目录 开启了 Docker 远程 API 访问接口 CVE-2016-5195 DirtyCow 脏牛漏洞 CVE-2020-14386 CVE-2022-0847 DirtyPipe 使用 在 Docker 容...
容器逃逸知识分享.zip
11-11
通过采用安全的开发和运维流程,严格控制容器的权限,及时修补漏洞,以及持续监控容器行为,我们可以大大降低容器逃逸风险,从而保护我们的基础设施和数据不受攻击。在实际操作中,不断学习和更新安全知识,结合...
CVE-2018-1002103:远程代码执行与虚拟机逃逸1
08-03
CVE-2018-1002103:远程代码执行与虚拟机逃逸 CVE-2018-1002103是一种远程代码执行漏洞,可能导致攻击者在目标系统上执行恶意代码,从而导致严重的安全问题。该漏洞影响的组件为Kubernetes Dashboard,攻击者可以...
BadCode:恶意代码逃逸源代码http
03-24
8. **自动化的安全工具**:利用静态代码分析工具、动态应用安全测试(DAST)和软件组成分析(SCA)工具,自动检测潜在的安全问题。 总的来说,防止恶意代码逃逸源代码http需要多方面的努力,包括加强代码审查、使用...
Docker逃逸:从一个进程崩溃讲起.pdf
08-08
议题介绍:Docker作为一个程序可以提供操作系统级的虚拟化,它基于Linux内核提供的资源隔离特性开发,并允许相互独立的“容器”工作在唯一的Linux实例中,这样一来就避免了运行及维护虚拟机带来的开销。Apport是一个...
IDC:容器新势力,市场新动力.zip
08-15
在"IDC:容器新势力,市场新动力"这个主题中,我们可以推测这是一份关于容器技术在IT行业中最新趋势和发展动态的报告。容器技术,尤其是Docker和Kubernetes等工具,已经成为现代应用程序部署和管理的核心部分,为...
Kubernetes攻防 | 容器逃逸 - 创建cgroup
Trollz的博客
03-15 596
Kubernetes attack and defense | container escape - create cgroup
云安全攻防(七)之 容器逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-08 1804
以其他虚拟化技术类似,逃逸是最为严重的安全风险,直接危害了底层宿主机和整个云计算系统的安全,“容器逃逸”是指攻击者通过劫持容器业务化逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力,攻击者利用这种执行能力,借助一些手段进而获得该容器所在的直接宿主机某种权限下的命令执行能力。到此为止,攻击者已经基本从容器内部逃逸出来了,这里说基本,是因为仅仅挂载了宿主机的根目录,如果用ps命令查看的话,可以看到还是容器内部的进程,因为没有挂载宿主机的 procfs。
技术干货 | Docker 容器逃逸案例汇集
热门推荐
08-02 2万+
当获得一个Webshell,我们的攻击点可能处于服务器的一个虚拟目录里,一台虚拟机或是一台物理机,甚至是在一个Docker容器里。 假设,我们获取的Webshell就处于Docker容器里,那么,我们该如何破局呢? Docker 容器逃逸案例: 1、判断是否处于docker容器里 2、配置不当引起的逃逸 Docker Remote API 未授权访问 docker.s...
开源 VeinMind Tools 正式发布 v2.0 版本 | 支持镜像/容器漏洞扫描、容器逃逸检测等多种插件
weixin_43742792的博客
02-16 358
VeinMind Tools 是基于 VeinMind SDK 打造的一个容器安全工具集,目前已支持镜像/容器漏洞、逃逸风险、恶意文件、后门、敏感信息、弱口令、资产识别等扫描功能。
Day95:云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
qq_61553520的博客
04-11 964
小迪安全-Day95:云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
centos系统-docker容器逃逸
suo_y的博客
04-20 1375
docker-runc CVE-2019-5736(runC容器逃逸漏洞) 1、准备漏洞环境: curl https://gist.githubusercontent.com/thinkycx/e2c9090f035d7b09156077903d6afa51/raw -o install.sh && bash install.sh 2、下载poc,编译脚本 a)下载poc:https://github.com/Frichetten/CVE-2019-5736-PoC b)修改payload
腾讯云发布runC容器逃逸漏洞修复公告
karamos的专栏
02-14 1160
  尊敬的腾讯云客户,您好:     近日,腾讯云安全中心监测发现轻量级容器运行环境runc被爆存在容器逃逸漏洞,攻击者可以在利用该漏洞覆盖Host上的runc文件,从而在Host上以root权限执行代码。         为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。   【漏洞详情】          run...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值