后渗透——Docker容器逃逸

原创 已于 2025-04-07 10:09:22 修改 · 3.3k 阅读 · 25
标签
#docker #容器 #运维
于 2025-02-22 16:13:33 首次发布

前言:

在渗透测试中,如果获取了目标主机的 shell,但发现其运行在 docker 环境中,要进一步渗透,就需要逃逸到宿主机。另外,还可能存在更复杂的场景,例如物理机运行虚拟机,虚拟机再运行 docker 容器,这种情况下还需要实现虚拟机逃逸。本文主要总结关于 docker 容器逃逸的相关技术与方法。

容器逃逸的原理:

本质上容器内的进程只是一个受限的普通 Linux 进程,容器内部进程的所有行为对于宿主机来说是透明的。我们可以在宿主机上直接使用 ps 看到容器的进程信息。

所以,容器逃逸和硬件虚拟化逃逸的本质有很大的不同(不包含 Kata Containers 等 ),容器逃逸的过程更像一个受限进程获取未受限的完整权限,又或某个原本受 Cgroup/Namespace 限制权限的进程获取更多权限的操作,更趋近于提权。

注:

Cgroup(控制组):用于限制和管理进程的资源(如 CPU、内存、磁盘 I/O、网络带宽等)。它确保某个容器不会占用过多资源,影响
其他进程。
例如:限制某个容器最多使用 512MB 内存,防止其占满整个系统。

Namespace(命名空间):用于隔离进程的视图,让不同容器互不影响,每个容器都认为自己运行在独立的环境中。
例如:不同容器可以有相同的进程 ID(PID)、主机名(UTS)、网络接口(Net),但它们彼此不可见。

简单理解:
Cgroup 负责"配额"(谁能用多少资源)。
Namespace 负责"隔离"(让彼此看不到对方)。
结合 Cgroup + Namespace,就能让容器像一个独立的小系统运行在宿主机上。

利用思路

Docker容器逃逸的利用思路是:

1、检测是否处于容器环境

2、进行容器逃逸

  • 基于API 漏洞
  • 基于危险配置
  • 基于危险挂载
  • 基于程序漏洞
  • 基于内核漏洞

Docker 环境判断

参考 Metasploit 中检测 container 的模块(checkcontainer、checkvm)。

  1. 检查/proc/1/cgroup内是否包含dockerkubepods等字符串 (虚拟机环境下也存在一些特征,感觉是主要检测方法)
  2. 检查/.dockerenv文件是否存在 (虚拟机环境下无 dockerenv
  3. 检查环境变量 (k8s 环境下有很多特征环境变量)
  4. 检查 mount 信息
  5. 查看硬盘信息 (fdisk -l 容器输出为空,非容器有内容输出。)

举例

测试环境 :docker nginx:latest 镜像
在这里插入图片描述
可以发现,部分通过测试,部分没有,但大体来讲能判断目前处于一个docker环境。

1.基于API 漏洞

Docker 远程API 未授权访问

Docker Swarm 是 Docker 的集群管理工具,它将 Docker 主机池转变为单个虚拟 Docker 主机,能够方便的进行 docker 集群的管理和扩展。Docker Swarm 使用标准的 Docker API 通过 2375/2376 端口来管理每个 Docker 节点,Docker API 是一个取代远程命令行界面(RCLI) 的 REST API。当 Docker 节点的 2375 端口直接暴露并未做权限检查时,存在未授权访问漏洞,攻击者可以利用Docker API执行任何操作,包括执行Docker命令,创建、删除Docker以及获得宿主机权限等。

漏洞复现

本来想用 vulhub 的 docker/unauthorized-rce 环境,但最后发现 这环境里的 docker 下不了别的镜像,于是只能在自己的 docker 环境设置一下,下面是设置步骤:

配置docker支持远程访问

1、进行文件备份

cp /lib/systemd/system/docker.service /lib/systemd/system/docker.service.bak

2、编辑docker服务文件

vim /lib/systemd/system/docker.service

3、在文件末尾加上如下代码

[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

4、保存并退出后,重载守护进程以及重启docker服务即可

sudo systemctl daemon-reload   #重载守护进程
sudo systemctl restart docker  #重启docker服务

环境配置好后访问目标IP的 2375/2376 端口如下接口,若有信息,则存在Docker API未授权访问

http://x.x.x.x:2375/version
http://x.x.x.x:2375/
最低0.47元/天 解锁文章
Docker容器逃逸总结
SHELLCODE_8BIT的博客
03-12 2749
3.1 特权容器,特权容器下,所有capabiltiy都拥有,并且对设备/dev可见。1.1 条件竞争类dirtypipe + dac_search,dirtycow。以下几个如果被挂载,都会被可写,造成逃逸。1.2 内核漏洞,uaf等等。
DockerDocker逃逸小结
woodwhale的博客
03-28 2041
docker逃逸小结
2025年度容器安全王炸:runC三连逃逸漏洞CVE-2025-31133/52565/52881全解析与实战防护
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
05-02 176
2025年11月,OCI披露三个高危runC容器逃逸漏洞(CVE-2025-31133、52565、52881),均获CVSS 7.3评分。这些漏洞利用runC对/proc文件系统的写入防护缺陷,可组合形成完整逃逸链,绕过AppArmor/SELinux等安全机制,使普通容器用户获取宿主机root权限。影响范围覆盖Docker、Kubernetes等90%以上容器环境,云厂商紧急发布修复公告。漏洞利用门槛低,已出现大规模攻击尝试。本文深度解析漏洞原理、复现方法及组合利用技术,提供从应急修复到长期防护的完整方
docker容器逃逸学习篇
weixin_46148739的博客
09-10 2291
本文对常见docker逃逸漏洞做了总结,包含漏洞环境的搭建,原理说明,利用方式,以及cdk工具的简单介绍等将cdk传入你拿下的容器将cdk工具丢到你的公网服务器,并且监听端口CDK包括三个功能模块Evaluate: 容器内部信息收集,以发现潜在的弱点便于后续利用。Exploit: 提供容器逃逸、持久化、横向移动等利用方式。Tool: 修复渗透过程中常用的linux命令以及与Docker/K8s API交互的命令。# 容器内部信息收集# 查看可利用的payload# 利用Exploit 模块。
云安全攻防(七)之 容器逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-08 3338
以其他虚拟化技术类似,逃逸是最为严重的安全风险,直接危害了底层宿主机和整个云计算系统的安全,“容器逃逸”是指攻击者通过劫持容器业务化逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力,攻击者利用这种执行能力,借助一些手段进而获得该容器所在的直接宿主机某种权限下的命令执行能力。到此为止,攻击者已经基本从容器内部逃逸出来了,这里说基本,是因为仅仅挂载了宿主机的根目录,如果用ps命令查看的话,可以看到还是容器内部的进程,因为没有挂载宿主机的 procfs。
生命在于学习——docker逃逸
易水哲的博客
12-02 5404
docker逃逸就是从当前docker容器权限中逃逸出来,获得宿主机的权限。
docker逃逸方法汇总与简要分析
2401_84466336的博客
08-07 2051
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,它允许用户通过RESTful API与Docker引擎进行交互,这意味着开发人员可以使用HTTP请求来远程管理和控制Docker引擎,包括创建、启动、停止和删除容器,构建和管理镜像,以及执行其他与Docker相关的操作。
05-Docker特权模式逃逸
日拱一卒,默默努力
10-25 375
渗透测试的过程中,由于一些服务是部署在Docker容器中,所以当我们拿到一台Docker容器的 shell 后可能需要进行环境的判定,继而进行容器逃逸。在本篇文章中我们将进行总结学习,如何在拿到一台容器后进行流程化的Docker逃逸
docker逃逸场景
zkaqlaoniao的博客
02-24 1130
目录: Docker Client 和 Docker DaemonDocker Client:这是用户通过命令行与 Docker 进行交互的工具(例如你输入的 命令)。它提供了一个用户界面来管理 Docker 容器和镜像。Docker Daemon:后台运行的服务(进程),负责管理 Docker 容器的创建、运行、停止等操作。它接收来自 Docker Client 的请求,并处理这些请求。C/S架构C/S(Client/Server)架构是一种分布式计算模型,其中客户机(Client)发出请求,而服务器(
云上攻防-云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸
SuperherRo的博客
03-03 2166
1、云原生-Docker安全-容器逃逸&内核漏洞 2、云原生-Docker安全-容器逃逸&版本漏洞 3、云原生-Docker安全-容器逃逸&CDK自动化
云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
今天是几号的博客
10-13 3471
Docker 是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度。Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。
【第96课】云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸
Lucker_YYY的博客
09-03 1687
最简单精准的方式就是查询系统进程的cgroup信息,通过响应的内容可以识别当前进程所处的运行环境,就可以知道是在虚拟机、docker还是kubepods里。该工具只能上传脚本文件目录,没法上传一些执行程序,需要拿到webshell利用webshell链接工具上传执行程序。通过判断根目录下的 .dockerenv文件是否存在,可以简单的识别docker环境。3、云原生-Docker安全-容器逃逸&CDK自动化。2、云原生-Docker安全-容器逃逸&版本漏洞。-Docker安全-容器逃逸&内核漏洞。
云安全-云原生技术架构(Docker逃逸技术-特权与危险挂载)
告白的博客
10-28 888
拿到shell后需要判断是否是处于docker环境中,上面图片我用了很简单的一个方法,查看ls -al下的根目录,看是否存在dockerenv文件,如果存在,则大概率为docker环境,下面还有其他的一些方法,在实战可以多个结合参考。观察到获取到docker搭建的容器shell与真实主机是有区别的,也就是我们存在于docker环境的shell中,不管在内容如何去操作,都只是在容器环境中,这个时候就需要突破容器环境,搭建容器逃逸,控制对方真实主机。后者是将整个系统打包,封装一个系统。
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
神棍之路
01-11 1638
运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸
云原生安全——Docker容器逃逸
最新发布
wjp3088798042的博客
06-20 528
Docker容器逃逸的核心在于识别危险配置与利用内核/组件漏洞。判断容器环境的多种手段特权模式、docker.sock挂载、procfs挂载三种经典逃逸的详细步骤低权限用户提权配合(需结合内核漏洞)通过本笔记的Checklist和命令示例,可快速验证目标容器是否存在逃逸路径。在实际攻防中,容器逃逸是从“Web入口”到“宿主机权限”的关键跳跃。
网络安全工具Docker容器渗透测试工具CDK使用
SHELLCODE_8BIT的博客
09-19 1569
Evaluate: 容器内部信息收集,以发现潜在的弱点便于后续利用。Exploit: 提供容器逃逸、持久化、横向移动等利用方式。Tool: 修复渗透过程中常用的linux命令以及与Docker/K8s API交互的命令。
【第95课】云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
Lucker_YYY的博客
09-03 1410
最简单精准的方式就是查询系统进程的cgroup信息,通过响应的内容可以识别当前进程所处的运行环境,就可以知道是在虚拟机、docker还是kubepods里。通过判断根目录下的 .dockerenv文件是否存在,可以简单的识别docker环境。云原生攻防:Docker,Kubernetes(k8s),容器逃逸,CI/CD等。云服务攻防:对象存储,云数据库,弹性计算服务器,VPC&RAM等。云厂商攻防:阿里云,腾讯云,华为云,亚马云,谷歌云,微软云等。,私有云,混合云,虚拟化集群,云桌面等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值