Docker 容器逃逸案例分析

最新推荐文章于 2024-02-22 21:04:23 发布
VIP文章 最新推荐文章于 2024-02-22 21:04:23 发布
阅读量5k 收藏
点赞数
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunqishequ1/article/details/51969039
版权

摘要: ## 0. 前言 本文参考自《Docker 容器与容器云》 这个容器逃逸的 case 存在于 Docker 1.0 之前的绝大多数版本。 目前使用 Docker 1.0 之前版本的环境几乎不存在了,这篇分析的主要目的是为了加深系统安全方面的学习。 本案例所分析的 PoC 源码地址:[shocker.c](https://github.com/gabrtv/shocker/b

0. 前言

本文参考自《Docker 容器与容器云》

这个容器逃逸的 case 存在于 Docker 1.0 之前的绝大多数版本。

目前使用 Docker 1.0 之前版本的环境几乎不存在了,这篇分析的主要目的是为了加深系统安全方面的学习。

本案例所分析的 PoC 源码地址:shocker.c

1. 预备知识

1.1 Linux Capability

尝试用较为简单的话来说明 Linux 中 Capability 的概念。

为了解决在某些场景下,普通用户需要部分 root 权限来完成工作的问题。Linux 支持将部分 root 的特权操作权限细分成具体的 Capability,如果将某个 Capability 分配给某一个可执行文件或者是进程,即使不是 root 用户,也可以执行该Capability 对应的特权操作。

1.2 Unix 系统文件操作原理

1.2.1 proc 与 user 结构体

以 UNIX V6 为基础进行说明,目前主流的 Linux 版本文件系统的实现原理与 UNIX V6 差别不大。

Unix 系统中与某一个进程密切相关的有两个结构体,它们是 proc 结构体和 user 结构体。

proc 结构体中保存了进程状态、执行优先级等经常需要被内核访问的信息,因此由 proc 结构体构成的数据 proc[] 是常驻内存的。

/*
 * Filename: proc.h
 */

struct proc {
    // 进程当前状态
    char p_stat;
    // 标识变量
    char p_flag;
    // 执行优先级
    char p_pri;
    // 接收到的信号
    char p_sig;
    // UID
    char p_uid;
    // 在内存或交换空间中存在的时间,单位秒
    char p_time;
    // 占用 CPU 的累积时间,单位时钟 tick 数
    char p_cpu;
    // 用于修正执行优先级的补正系数,默认 0
    char p_nice;
    // 正在操作进程的终端
    int  p_ttyp;
    // PID
    int  p_pid;
    // 父进程 PID
    int  p_ppid;
    // 数据段的物理地址
    int  p_addr;
    // 数据段长度
    int  p_size;
    // 进程进入休眠的原因
    int  p_wchan;
    // 使用的代码段
    int  *p_textp;
}

user 结构体中保存了进程打开的文件等信息,由于内核只需要使用当前执行进程的 user 结构体,所以当某一个进程被移至交换空间时, user

最低0.47元/天 解锁文章
云栖精选
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker 容器日志分析
09-29
主要介绍了Docker 容器日志分析,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
打开文件源码分析及调试
qq_58538265的博客
10-18 74
对于一个路径来说,经过link_path_walk()的处理,nd将保存最后一个目录项的信息,但是最后一个目录项代表的文件(或目录)是否存在并不知晓,需要通过调用link_path_walk()的path_openat()做最后的处理。**do_last():**在path_openat()中,经过link_path_walk()对open路径的查找,将进入do_last()对路径中最后一个目录项做处理。”,即当前要walk的目录项为上一次已经walk的目录项的父目录,也就是需要向上获取当前目录的父目录。
linux内核之旅,open()在Linux内核的实现(2)-路径查找
weixin_42317885的博客
04-30 766
1.基本说明文件的打开操作在内核中的实现思路很简单:即通过用户态传递的路径逐项查找文件;如果该文件存在,那么内核将为该文件创建file结构;同时将该file结构与files数组关联,最终返回数组的索引作为用户态的文件描述符。路径查找是对给定的文件路径以目录项为单位进行逐级解析。主要包括以下几项内容:1.确定路径查找的起始位置。比如,起始位置可能是current->fs->cwd或cur...
name_to_handle_at函数和open_by_handle_at函数
最新发布
tangzhangyin的专栏
02-22 850
dirfdpathnamehandlemount_idflagsmount_fdhandleflagsname_to_handle_at()和open_by_handle_at()系统调用将openat(2)的功能分为两部分:name_to_handle_at(): 返回一个对应于指定文件的不透明句柄;open_by_handle_at(): 打开与前面调用name_to_handle_at()返回的句柄对应的文件,并返回一个打开的文件描述符。
Linux内核配置选项简介
ysh1042436059的专栏
12-11 5568
Linux内核配置选项简介 2016年06月02日 16:09:41 没事多学点 阅读数:10730 标签: 内核配置kernel移植menuconfig 更多 个人分类: linux Linux内核配置选项简介   Gentoo Linux Gentoo内核(gentoo-sources)特有的选项 Gentoo Linux support CONFIG_GENTOO_LINUX ...
系统调用的过程
u011279649的专栏
01-23 1313
系统调用是实现是应用程序调用swi, 进入swi 异常处理模式: crash> dis -l vector_swi /* 保存寄存器 系统调用和进程切换上下文保存的内容,有什么不同? 系统调用对应的数据结构是pt_regs,而进程调度使用的是thread_info -> cpu_context_save  **/ 0xc000e100 :        sub     sp,
生命在于学习——docker逃逸
易水哲的博客
12-02 4339
docker逃逸就是从当前docker容器权限中逃逸出来,获得宿主机的权限。
Linux-4.4-x86_64 内核配置选项简介
轮子工厂
10-15 4616
Linux-4.4-x86_64 内核配置选项简介 作者:金步国 64-bit kernel CONFIG_64BIT 编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项. General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE 交叉编译工具前缀(比如"arm-linux...
Docker容器逃逸
weixin_44720441的博客
08-23 917
Docker容器逃逸指的是攻击者通过劫持容器化业务逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进而获得该容器所在的直接宿主机(当遇到“物理机运行虚拟机,虚拟机再运行容器”的场景时,该场景下的直接宿主机指容器外层的虚拟机)上某种权限下的命令执行能力。
基于Docker容器DevOps发布系统
06-06
gitlab环境搭建 harbor环境搭建 jenkins环境搭建、工具安装、插件安装 DockerDocker Compose 环境搭建 gitlab、harbor、jenkins、Docker 集成
Docker容器故障案例.pdf
04-07
Docker容器故障案例.pdf
Docker逃逸原理
11-06
Docker有6大Namespace,PPT中分析了6个Namespace的基本原理和最终逃逸原理
Docker 容器容器云(高清扫描版)
01-09
从实践者的角度出发,以Docker和Kubernetes为重点,沿着“基本用法介绍”到“核心原理解读”到“高级实践技巧”的思路,一本书讲透当前主流的容器容器云技术,有助于读者在实际场景中利用Docker容器容器云解决...
DockerDocker逃逸小结
woodwhale的博客
03-28 1760
docker逃逸小结
关于Docker逃逸
qq_50854662的博客
04-27 379
关于Docker逃逸
Docker容器逃逸总结
SHELLCODE_8BIT的博客
03-12 1856
3.1 特权容器,特权容器下,所有capabiltiy都拥有,并且对设备/dev可见。1.1 条件竞争类dirtypipe + dac_search,dirtycow。以下几个如果被挂载,都会被可写,造成逃逸。1.2 内核漏洞,uaf等等。
Docker安全
weixin_33672400的博客
06-24 541
整理自《Docker进阶与实战》 Docker的安全性 Docker的安全性主要体现在如下几个方面: Docker容器的安全性这是指容器是否会危害到宿主机或其他容器; 镜像的安全性用户如何确保下载下来的镜像是可信的、未被篡改过的; Docker daemon的安全性如何确保发送给daemon的命令是由可信用户发起的。用户通过CLI或者R...
Docker的一个安全漏洞
weixin_34336292的博客
06-23 162
最近又翻译了一篇关于Docker的文章,内容是Docker发布的一个安全漏洞以及应对方法,地址在docker中文社区的《突破 DOCKER 容器的漏洞验证代码》其实我十来年前做过一段时间的系统安全,还结识了安全圈里一帮兄弟,后来我转行做了存储,也一直在关注安全领域。这一两年安全行业迅猛发展,看得我有时候真是羡慕嫉妒恨啊......回到技术话题,这个漏洞其实很容易理解。Linu...
浅谈容器逃逸
key_3_feng的博客
05-17 2620
Docker容器 Dead 状态分析
07-28
回答: Docker容器 Dead 状态通常是由于容器无法正常关闭或删除引起的。根据引用\[1\]中的描述,当尝试关闭容器时,可能会出现连接不可用的错误。此时可以尝试使用docker-containerd命令以debug模式调整容器状态,然后再尝试删除容器。另外,根据引用\[2\]中的建议,在删除镜像之前,需要先使用docker rm命令删除依赖于该镜像的所有容器。如果容器无法删除,可能是因为挂载泄露导致的。可以尝试重启服务器或手动删除相关文件夹目录来解决该问题。此外,还可以使用一条命令停用并删除所有容器,即docker stop $(docker ps -q) & docker rm $(docker ps -aq)。 #### 引用[.reference_title] - *1* [K8s常见问题分析&解决(docker问题)](https://blog.csdn.net/CodeAsWind/article/details/104309572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Docker容器 Dead 状态分析](https://blog.csdn.net/Qevery678/article/details/93888999)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值