Docker Forensics
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:
कुछ डॉकर कंटेनर के समझौता होने के संदेह हैं:
आप आसानी से इस कंटेनर में इमेज के संबंध में किए गए संशोधनों को ढूंढ सकते हैं:
In the previous command C का मतलब Changed और A, Added है।
यदि आप पाते हैं कि कुछ दिलचस्प फ़ाइल जैसे /etc/shadow
को संशोधित किया गया है, तो आप इसे कंटेनर से डाउनलोड कर सकते हैं ताकि आप दुर्भावनापूर्ण गतिविधि की जांच कर सकें:
आप इसे मूल के साथ तुलना कर सकते हैं एक नया कंटेनर चलाकर और उससे फ़ाइल निकालकर:
यदि आप पाते हैं कि कुछ संदिग्ध फ़ाइल जोड़ी गई थी तो आप कंटेनर में प्रवेश कर सकते हैं और इसे जांच सकते हैं:
जब आपको एक निर्यातित डॉकर इमेज (संभवतः .tar
प्रारूप में) दी जाती है, तो आप container-diff का उपयोग करके संशोधनों का एक सारांश निकाल सकते हैं:
फिर, आप decompress कर सकते हैं छवि को और access the blobs कर सकते हैं संदिग्ध फ़ाइलों की खोज करने के लिए जो आपने परिवर्तनों के इतिहास में पाई हो सकती हैं:
आप छवि से बुनियादी जानकारी प्राप्त कर सकते हैं:
आप परिवर्तनों का इतिहास का सारांश भी प्राप्त कर सकते हैं:
आप एक छवि से dockerfile भी उत्पन्न कर सकते हैं:
डॉकर इमेज में जोड़े गए/संशोधित फ़ाइलों को खोजने के लिए आप dive (इसे releases से डाउनलोड करें) उपयोगिता का भी उपयोग कर सकते हैं:
यह आपको डॉकर इमेज के विभिन्न ब्लॉब्स के माध्यम से नेविगेट करने और यह जांचने की अनुमति देता है कि कौन से फ़ाइलें संशोधित/जोड़ी गई थीं। लाल का मतलब जोड़ा गया है और पीला का मतलब संशोधित है। टैब का उपयोग करके अन्य दृश्य पर जाएं और फ़ोल्डरों को संकुचित/खोलने के लिए स्पेस का उपयोग करें।
डाई के साथ, आप इमेज के विभिन्न चरणों की सामग्री तक पहुँच नहीं पाएंगे। ऐसा करने के लिए, आपको प्रत्येक परत को डिकंप्रेस करना होगा और इसे एक्सेस करना होगा। आप उस निर्देशिका से एक इमेज की सभी परतों को डिकंप्रेस कर सकते हैं जहाँ इमेज को डिकंप्रेस किया गया था:
ध्यान दें कि जब आप एक डॉकर कंटेनर को एक होस्ट के अंदर चलाते हैं तो आप होस्ट से कंटेनर पर चल रहे प्रोसेस को देख सकते हैं बस ps -ef
चलाकर।
इसलिए (रूट के रूप में) आप होस्ट से प्रोसेस की मेमोरी को डंप कर सकते हैं और क्रेडेंशियल्स के लिए खोज कर सकते हैं बस निम्नलिखित उदाहरण की तरह।
मोबाइल सुरक्षा में अपनी विशेषज्ञता को 8kSec अकादमी के साथ गहरा करें। हमारे आत्म-गति पाठ्यक्रमों के माध्यम से iOS और Android सुरक्षा में महारत हासिल करें और प्रमाणित हों:
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)