Docker Forensics

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

Container modification

Υπάρχουν υποψίες ότι κάποιο docker container έχει παραβιαστεί:

docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc03e43a052a        lamp-wordpress      "./run.sh"          2 minutes ago       Up 2 minutes        80/tcp              wordpress

Μπορείτε εύκολα να βρείτε τις τροποποιήσεις που έγιναν σε αυτό το κοντέινερ σε σχέση με την εικόνα με:

docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...

Στην προηγούμενη εντολή, το C σημαίνει Αλλαγμένο και το A σημαίνει Προστεθέν. Αν διαπιστώσετε ότι κάποιο ενδιαφέρον αρχείο όπως το /etc/shadow έχει τροποποιηθεί, μπορείτε να το κατεβάσετε από το κοντέινερ για να ελέγξετε για κακόβουλη δραστηριότητα με:

docker cp wordpress:/etc/shadow.

Μπορείτε επίσης να το συγκρίνετε με το πρωτότυπο εκκινώντας ένα νέο κοντέινερ και εξάγοντας το αρχείο από αυτό:

docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow

Αν διαπιστώσετε ότι κάποιο ύποπτο αρχείο προστέθηκε μπορείτε να αποκτήσετε πρόσβαση στο κοντέινερ και να το ελέγξετε:

docker exec -it wordpress bash

Images modifications

Όταν σας δοθεί μια εξαγόμενη εικόνα docker (πιθανώς σε μορφή .tar), μπορείτε να χρησιμοποιήσετε container-diff για να εξαγάγετε μια περίληψη των τροποποιήσεων:

docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar

Τότε, μπορείτε να αποσυμπιέσετε την εικόνα και να πρόσβαση στα blobs για να αναζητήσετε ύποπτα αρχεία που μπορεί να έχετε βρει στην ιστορία αλλαγών:

tar -xf image.tar

Basic Analysis

Μπορείτε να αποκτήσετε βασικές πληροφορίες από την εικόνα εκτελώντας:

docker inspect <image>

Μπορείτε επίσης να αποκτήσετε μια περίληψη ιστορίας αλλαγών με:

docker history --no-trunc <image>

Μπορείτε επίσης να δημιουργήσετε ένα dockerfile από μια εικόνα με:

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>

Dive

Για να βρείτε προστιθέμενα/τροποποιημένα αρχεία σε εικόνες docker, μπορείτε επίσης να χρησιμοποιήσετε το dive (κατεβάστε το από releases) εργαλείο:

#First you need to load the image in your docker repo
sudo docker load < image.tar                                                                                                                                                                                                         1 ⨯
Loaded image: flask:latest

#And then open it with dive:
sudo dive flask:latest

Αυτό σας επιτρέπει να πλοηγηθείτε μέσα από τα διάφορα blobs των εικόνων docker και να ελέγξετε ποια αρχεία τροποποιήθηκαν/προστέθηκαν. Κόκκινο σημαίνει προστέθηκε και κίτρινο σημαίνει τροποποιήθηκε. Χρησιμοποιήστε tab για να μετακινηθείτε στην άλλη προβολή και space για να συμπτύξετε/ανοίξετε φακέλους.

Με die δεν θα μπορείτε να αποκτήσετε πρόσβαση στο περιεχόμενο των διαφόρων σταδίων της εικόνας. Για να το κάνετε αυτό, θα χρειαστεί να αποσυμπιέσετε κάθε στρώμα και να αποκτήσετε πρόσβαση σε αυτό. Μπορείτε να αποσυμπιέσετε όλα τα στρώματα από μια εικόνα από τον κατάλογο όπου αποσυμπιέστηκε η εικόνα εκτελώντας:

tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done

Διαπιστευτήρια από μνήμη

Σημειώστε ότι όταν εκτελείτε ένα docker container μέσα σε έναν host μπορείτε να δείτε τις διαδικασίες που εκτελούνται στο container από τον host απλά εκτελώντας ps -ef

Επομένως (ως root) μπορείτε να dumpάρετε τη μνήμη των διαδικασιών από τον host και να αναζητήσετε διαπιστευτήρια ακριβώς όπως στο παρακάτω παράδειγμα.

Εμβαθύνετε την εμπειρία σας στην Κινητή Ασφάλεια με την 8kSec Academy. Κατακτήστε την ασφάλεια iOS και Android μέσω των αυτορυθμιζόμενων μαθημάτων μας και αποκτήστε πιστοποίηση:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAnti-Forensic Techniques NextImage Acquisition & Mount

Last updated 1 day ago