Docker 容器逃逸案例分析

最新推荐文章于 2024-08-15 17:56:23 发布
最新推荐文章于 2024-08-15 17:56:23 发布
阅读量5k 收藏
点赞数
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunqishequ1/article/details/51969039
版权
本文详细分析了一个存在于 Docker 1.0 之前的版本中的容器逃逸案例,主要涉及 Linux Capability、Unix 系统文件操作原理,特别是 open_by_handle_at() 函数。通过对 PoC 源码 shocker.c 的逐行解释,深入探讨了如何利用文件描述符的特性实现容器逃逸。
摘要由CSDN通过智能技术生成

摘要: ## 0. 前言 本文参考自《Docker 容器与容器云》 这个容器逃逸的 case 存在于 Docker 1.0 之前的绝大多数版本。 目前使用 Docker 1.0 之前版本的环境几乎不存在了,这篇分析的主要目的是为了加深系统安全方面的学习。 本案例所分析的 PoC 源码地址:[shocker.c](https://github.com/gabrtv/shocker/b

0. 前言

本文参考自《Docker 容器与容器云》

这个容器逃逸的 case 存在于 Docker 1.0 之前的绝大多数版本。

目前使用 Docker 1.0 之前版本的环境几乎不存在了,这篇分析的主要目的是为了加深系统安全方面的学习。

本案例所分析的 PoC 源码地址:shocker.c

1. 预备知识

1.1 Linux Capability

尝试用较为简单的话来说明 Linux 中 Capability 的概念。

为了解决在某些场景下,普通用户需要部分 root 权限来完成工作的问题。Linux 支持将部分 root 的特权操作权限细分成具体的 Capability,如果将某个 Capability 分配给某一个可执行文件或者是进程,即使不是 root 用户,也可以执行该Capability 对应的特权操作。

1.2 Unix 系统文件操作原理

1.2.1 proc 与 user 结构体

以 UNIX V6 为基础进行说明,目前主流的 Linux 版本文件系统的实现原理与 UNIX V6 差别不大。

Unix 系统中与某一个进程密切相关的有两个结构体,它们是 proc 结构体和 user 结构体。

proc 结构体中保存了进程状态、执行优先级等经常需要被内核访问的信息,因此由 proc 结构体构成的数据 proc[] 是常驻内存的。

/*
 * Filename: proc.h
 */

struct proc {
    // 进程当前状态
    char p_stat;
    // 标识变量
    char p_flag;
    // 执行优先级
    char p_pri;
    // 接收到的信号
    char p_sig;
    // UID
    char p_uid;
    // 在内存或交换空间中存在的时间,单位秒
    char p_time;
    // 占用 CPU 的累积时间,单位时钟 tick 数
    char p_cpu;
    // 用于修正执行优先级的补正系数,默认 0
    char p_nice;
    // 正在操作进程的终端
    int  p_ttyp;
    // PID
    int  p_pid;
    // 父进程 PID
    int  p_ppid;
    // 数据段的物理地址
    int  p_addr;
    // 数据段长度
    int  p_size;
    // 进程进入休眠的原因
    int  p_wchan;
    // 使用的代码段
    int  *p_textp;
}

user 结构体中保存了进程打开的文件等信息,由于内核只需要使用当前执行进程的 user 结构体,所以当某一个进程被移至交换空间时, user

最低0.47元/天 解锁文章
云栖精选
关注
专栏目录
Docker 容器日志分析
09-29
随着容器应用的广泛部署,如何有效管理和分析容器产生的日志也成为了开发和运维人员需要掌握的技能之一。 Docker 容器日志分析主要涉及如何查看、存储以及滚动更新容器日志,以便于进行问题追踪、性能监控和安全...
容器逃逸攻击:攻击者可能会利用容器中的漏洞,从而访问宿主机操作系统
图幻未来的博客
02-05 474
容器逃逸是指通过寻找容器的漏洞并利用这些漏洞获取到宿主机的系统权限的一种恶意行为. 这种攻击方法可以让攻击者在已经逃逸出虚拟化的容器环境中执行任意代码或者获得其他恶意操作的能力. 因此, 有效地防范这种类型的攻击对于保护系统和数据的安全性至关重要.
系统调用的过程
u011279649的专栏
01-23 1340
系统调用是实现是应用程序调用swi, 进入swi 异常处理模式: crash> dis -l vector_swi /* 保存寄存器 系统调用和进程切换上下文保存的内容,有什么不同? 系统调用对应的数据结构是pt_regs,而进程调度使用的是thread_info -> cpu_context_save  **/ 0xc000e100 :        sub     sp,
Docker容器逃逸
最新发布
m0_74402888的博客
08-15 844
最简单精准的方式就是查询系统进程的cgroup信息,通过响应的内容可以识别当前进程所处的运行环境,就可以知道是在虚拟机、docker还是kubepods里。一个容器技术,类似于VM虚拟机,别人环境封装好打包成一个镜像,使用docker技术就能快速把这个镜像环境还原出来。通过判断根目录下的 .dockerenv文件是否存在,可以简单的识别docker环境。攻击者攻击虚拟空间磁盘,拿到最高权限也是虚拟空间的权限,而不是真实物理环境的权限。在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部。
name_to_handle_at函数和open_by_handle_at函数
tangzhangyin的专栏
02-22 1065
dirfdpathnamehandlemount_idflagsmount_fdhandleflagsname_to_handle_at()和open_by_handle_at()系统调用将openat(2)的功能分为两部分:name_to_handle_at(): 返回一个对应于指定文件的不透明句柄;open_by_handle_at(): 打开与前面调用name_to_handle_at()返回的句柄对应的文件,并返回一个打开的文件描述符。
linux内核之旅,open()在Linux内核的实现(2)-路径查找
weixin_42317885的博客
04-30 825
1.基本说明文件的打开操作在内核中的实现思路很简单:即通过用户态传递的路径逐项查找文件;如果该文件存在,那么内核将为该文件创建file结构;同时将该file结构与files数组关联,最终返回数组的索引作为用户态的文件描述符。路径查找是对给定的文件路径以目录项为单位进行逐级解析。主要包括以下几项内容:1.确定路径查找的起始位置。比如,起始位置可能是current->fs->cwd或cur...
Linux内核配置选项简介
ysh1042436059的专栏
12-11 6209
Linux内核配置选项简介 2016年06月02日 16:09:41 没事多学点 阅读数:10730 标签: 内核配置kernel移植menuconfig 更多 个人分类: linux Linux内核配置选项简介   Gentoo Linux Gentoo内核(gentoo-sources)特有的选项 Gentoo Linux support CONFIG_GENTOO_LINUX ...
生命在于学习——docker逃逸
易水哲的博客
12-02 4852
docker逃逸就是从当前docker容器权限中逃逸出来,获得宿主机的权限。
基于Docker容器DevOps发布系统
06-06
gitlab环境搭建 harbor环境搭建 jenkins环境搭建、工具安装、插件安装 DockerDocker Compose 环境搭建 gitlab、harbor、jenkins、Docker 集成
Docker容器故障案例.pdf
04-07
Docker容器故障案例.pdf
Docker 容器容器云(高清扫描版)
01-09
从实践者的角度出发,以Docker和Kubernetes为重点,沿着“基本用法介绍”到“核心原理解读”到“高级实践技巧”的思路,一本书讲透当前主流的容器容器云技术,有助于读者在实际场景中利用Docker容器容器云解决...
Docker容器技术-Docker-compose使用案例.pptx
06-09
### Docker-compose入门案例:使用Docker Compose运行Tomcat容器 #### 创建`docker-compose.yml`文件 在运行Tomcat容器前,我们需要编写一个`docker-compose.yml`文件。例如,我们可以创建一个名为`tomcat.yml`的...
Docker容器 日志中文乱码问题解决办法
01-10
Docker容器 日志中文乱码问题解决办法 1. 找到dockerfile文件, 如 /use/local/src/Docker/Dockerfile 2. 编辑Dockerfile 添加 ENV LANG en_US.UTF-8 ENV LANGUAGE en_US:en ENV LC_ALL en_US.UTF-8 3. 生成新的...
python脚本监控docker容器
12-24
本文实例为大家分享了python脚本监控docker容器的方法,供大家参考,具体内容如下 脚本功能: 1、监控CPU使用率 2、监控内存使用状况 3、监控网络流量 具体代码: #!/usr/bin/env python # --*-- coding:UTF-8 --*-...
Linux-4.4-x86_64 内核配置选项简介
轮子工厂
10-15 5097
Linux-4.4-x86_64 内核配置选项简介 作者:金步国 64-bit kernel CONFIG_64BIT 编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项. General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE 交叉编译工具前缀(比如"arm-linux...
DockerDocker逃逸小结
woodwhale的博客
03-28 1826
docker逃逸小结
Docker容器状态转换详解与实战
本文主要探讨了Docker容器的状态转换,并通过`docker info`命令展示了Docker守护进程的一些基本信息,包括正在运行的容器数量、镜像数量、存储驱动、日志驱动等。 在Docker中,容器可以经历多种状态,这些状态反映...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值