Weaponizing Distroless
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Un container distroless è un tipo di container che contiene solo le dipendenze necessarie per eseguire un'applicazione specifica, senza alcun software o strumenti aggiuntivi che non sono richiesti. Questi container sono progettati per essere il più leggeri e sicuri possibile e mirano a minimizzare la superficie di attacco rimuovendo qualsiasi componente non necessario.
I container distroless sono spesso utilizzati in ambienti di produzione dove la sicurezza e l'affidabilità sono fondamentali.
Alcuni esempi di container distroless sono:
Forniti da Google: https://console.cloud.google.com/gcr/images/distroless/GLOBAL
Forniti da Chainguard: https://github.com/chainguard-images/images/tree/main/images
L'obiettivo di armare un container distroless è essere in grado di eseguire binari e payload arbitrari anche con le limitazioni imposte da distroless (mancanza di binari comuni nel sistema) e anche protezioni comunemente trovate nei container come sola lettura o nessuna esecuzione in /dev/shm
.
In arrivo a un certo punto del 2023...
****In questo post, si spiega che il binario openssl
è frequentemente trovato in questi container, potenzialmente perché è necessario dal software che verrà eseguito all'interno del container.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)