CGroup Namespace

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Basiese Inligting

'n cgroup namespace is 'n Linux-kernfunksie wat isolasie van cgroup hiërargieë vir prosesse wat binne 'n namespace loop, bied. Cgroups, kort vir kontrole groepe, is 'n kernfunksie wat toelaat om prosesse in hiërargiese groepe te organiseer om grense op stelselhulpbronne soos CPU, geheue en I/O te bestuur en af te dwing.

Terwyl cgroup namespaces nie 'n aparte namespace tipe is soos die ander wat ons vroeër bespreek het (PID, mount, netwerk, ens.), is hulle verwant aan die konsep van namespace-isolasie. Cgroup namespaces virtualiseer die uitsig van die cgroup hiërargie, sodat prosesse wat binne 'n cgroup namespace loop, 'n ander uitsig van die hiërargie het in vergelyking met prosesse wat in die gasheer of ander namespaces loop.

Hoe dit werk:

Wanneer 'n nuwe cgroup namespace geskep word, begin dit met 'n uitsig van die cgroup hiërargie gebaseer op die cgroup van die skepende proses. Dit beteken dat prosesse wat in die nuwe cgroup namespace loop, slegs 'n subset van die hele cgroup hiërargie sal sien, beperk tot die cgroup subboom wat gegrond is op die cgroup van die skepende proses.
Prosesse binne 'n cgroup namespace sal hulle eie cgroup as die wortel van die hiërargie sien. Dit beteken dat, vanuit die perspektief van prosesse binne die namespace, hulle eie cgroup as die wortel verskyn, en hulle kan nie cgroups buite hulle eie subboom sien of toegang daartoe kry nie.
Cgroup namespaces bied nie direk isolasie van hulpbronne nie; hulle bied slegs isolasie van die cgroup hiërargie uitsig. Hulpbronbeheer en isolasie word steeds afgedwing deur die cgroup subsisteme (bv., cpu, geheue, ens.) self.

Vir meer inligting oor CGroups kyk:

CGroups

Laboratorium:

Skep verskillende Namespaces

CLI

sudo unshare -C [--mount-proc] /bin/bash

Deur 'n nuwe instansie van die /proc lêerstelsel te monteer as jy die parameter --mount-proc gebruik, verseker jy dat die nuwe monteernaamruimte 'n akkurate en geïsoleerde siening van die prosesinligting spesifiek vir daardie naamruimte het.

Fout: bash: fork: Kan nie geheue toewys nie

Wanneer unshare sonder die -f opsie uitgevoer word, word 'n fout ondervind weens die manier waarop Linux nuwe PID (Proses ID) naamruimtes hanteer. Die sleutelbesonderhede en die oplossing word hieronder uiteengesit:

Probleemverklaring:

Die Linux-kern laat 'n proses toe om nuwe naamruimtes te skep met die unshare stelselaanroep. Die proses wat die skepping van 'n nuwe PID naamruimte inisieer (genoem die "unshare" proses) gaan egter nie in die nuwe naamruimte in nie; slegs sy kindproses gaan.
Om %unshare -p /bin/bash% te loop, begin /bin/bash in dieselfde proses as unshare. Gevolglik is /bin/bash en sy kindproses in die oorspronklike PID naamruimte.
Die eerste kindproses van /bin/bash in die nuwe naamruimte word PID 1. Wanneer hierdie proses verlaat, veroorsaak dit die opruiming van die naamruimte as daar geen ander prosesse is nie, aangesien PID 1 die spesiale rol het om weesprosesse aan te neem. Die Linux-kern sal dan PID-toewysing in daardie naamruimte deaktiveer.

Gevolg:

Die uitgang van PID 1 in 'n nuwe naamruimte lei tot die opruiming van die PIDNS_HASH_ADDING vlag. Dit lei tot die alloc_pid funksie wat misluk om 'n nuwe PID toe te wys wanneer 'n nuwe proses geskep word, wat die "Kan nie geheue toewys nie" fout veroorsaak.

Oplossing:

Die probleem kan opgelos word deur die -f opsie saam met unshare te gebruik. Hierdie opsie maak dat unshare 'n nuwe proses fork nadat die nuwe PID naamruimte geskep is.
Om %unshare -fp /bin/bash% uit te voer, verseker dat die unshare opdrag self PID 1 in die nuwe naamruimte word. /bin/bash en sy kindproses is dan veilig binne hierdie nuwe naamruimte, wat die voortydige uitgang van PID 1 voorkom en normale PID-toewysing toelaat.

Deur te verseker dat unshare met die -f vlag loop, word die nuwe PID naamruimte korrek gehandhaaf, wat toelaat dat /bin/bash en sy sub-prosesse kan werk sonder om die geheue toewysing fout te ondervind.

Docker

docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash

Kontroleer in watter naamruimte jou proses is

ls -l /proc/self/ns/cgroup
lrwxrwxrwx 1 root root 0 Apr  4 21:19 /proc/self/ns/cgroup -> 'cgroup:[4026531835]'

Vind alle CGroup-namespaces

sudo find /proc -maxdepth 3 -type l -name cgroup -exec readlink {} \; 2>/dev/null | sort -u
# Find the processes with an specific namespace
sudo find /proc -maxdepth 3 -type l -name cgroup -exec ls -l  {} \; 2>/dev/null | grep <ns-number>

Gaan binne 'n CGroup naamruimte in

nsenter -C TARGET_PID --pid /bin/bash

Ook, jy kan slegs in 'n ander prosesnaamruimte ingaan as jy root is. En jy kan nie in 'n ander naamruimte ingaan sonder 'n beskrywer wat daarna verwys nie (soos /proc/self/ns/cgroup).

Verwysings

https://stackoverflow.com/questions/44666700/unshare-pid-bin-bash-fork-cannot-allocate-memory

Ondersteun HackTricks

Kyk na die subskripsieplanne!
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousNamespaces NextIPC Namespace

Last updated 4 days ago