漏洞介紹:
該未授權訪問漏洞是因為docker remote api可以執行docker命令,從官方文檔可以看出,該接口是目的是取代docker 命令界面,通過url操作docker。
docker swarm是docker下的分布化應用的本地集群,在開放2375監聽集群容器時,會調用這個api
url輸入ip:2375/version就會列出基本信息,和docker version命令效果一樣。
同樣,url為ip:2375/v1.23/containers/json會列出容器信息,和docker ps -a效果一樣。
漏洞利用:
通過docker client執行目標服務器容器命令。
1.列出所有鏡像。
2.列出所用容器
3.進入容器兩種方法:
3.1.
start 啟動一個已經停止的容器
attach 連接一個已經停止的容器
當然這個容器默認entrypoint必須是/bin/bash,關於這點可以在json里看到,還有掛載,后面提權會用到,這個也可以在json文件里看到。
3.2.
新運行一個容器並將entrypoint設置為/bin/bash,掛載點設置為服務器的根目錄掛載至/mnt目錄下
注意:
4.服務器提權的幾種方法
4.1
啟動一個容器,掛載宿主機的/root/目錄,之后將攻擊者的ssh公鑰~/.ssh/id_rsa.pub的內容寫到入宿主機的/root/.ssh/authorized_keys文件中,之后就可以用root賬戶直接登錄了。
本地獲取ssh公鑰
將公鑰復制到被攻擊者的/root/.ssh/authorized_keys文件中
ssh連接遠程服務器
4.2
啟動一個容器,掛載宿主機的/etc/目錄,之后將反彈shell的腳本寫入到/etc/crontab中,攻擊機nc -vv -l -p Port會得到一個反彈的shell
因為沒有公網IP,就不試了。
目標機上:
攻擊機上:
4.3
也可以掛載var/spool/cron/目錄,將反彈shell的腳本寫入到/var/spool/cron/root(centos系統)或/var/spool/cron/crontabs/root(ubuntu系統)