Docker Forensics

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

コンテナの改変

いくつかのdockerコンテナが侵害された疑いがあります:

docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc03e43a052a        lamp-wordpress      "./run.sh"          2 minutes ago       Up 2 minutes        80/tcp              wordpress

このコンテナに対するイメージに関する変更を簡単に見つけることができます:

docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...

前のコマンドで C は Changed を意味し、A は Added を意味します。もし /etc/shadow のような興味深いファイルが変更されたことがわかった場合、悪意のある活動を確認するために、コンテナからそれをダウンロードすることができます：

docker cp wordpress:/etc/shadow.

新しいコンテナを実行し、そこからファイルを抽出することで、元のものと比較することもできます:

docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow

もし疑わしいファイルが追加されたことがわかった場合は、コンテナにアクセスして確認できます：

docker exec -it wordpress bash

Images modifications

エクスポートされたdockerイメージ（おそらく.tar形式）を受け取った場合、container-diffを使用して変更の概要を抽出できます：

docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar

次に、イメージを解凍し、ブロブにアクセスして、変更履歴で見つけた疑わしいファイルを検索できます：

tar -xf image.tar

基本分析

イメージから基本情報を取得するには、次のコマンドを実行します:

docker inspect <image>

変更履歴の要約を取得することもできます:

docker history --no-trunc <image>

あなたは次のコマンドを使用して、イメージからdockerfileを生成することもできます:

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>

Dive

Dockerイメージ内の追加または変更されたファイルを見つけるために、dive（releasesからダウンロード）ユーティリティを使用することもできます：

#First you need to load the image in your docker repo
sudo docker load < image.tar                                                                                                                                                                                                         1 ⨯
Loaded image: flask:latest

#And then open it with dive:
sudo dive flask:latest

これにより、dockerイメージの異なるblobをナビゲートし、どのファイルが変更/追加されたかを確認できます。赤は追加されたことを意味し、黄色は変更されたことを意味します。tabを使用して他のビューに移動し、spaceを使用してフォルダーを折りたたむ/開くことができます。

dieを使用すると、イメージの異なるステージの内容にアクセスすることはできません。そのためには、各レイヤーを解凍してアクセスする必要があります。イメージが解凍されたディレクトリから、次のコマンドを実行してイメージのすべてのレイヤーを解凍できます：

tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done

メモリからの認証情報

ホスト内でdockerコンテナを実行するとき、ホストからコンテナ上で実行されているプロセスを見ることができます。ps -efを実行するだけです。

したがって（rootとして）、ホストからプロセスのメモリをダンプし、認証情報を検索することができます。これは次の例のように行います。

モバイルセキュリティの専門知識を深めるために、8kSec Academyで学びましょう。自己ペースのコースを通じてiOSとAndroidのセキュリティをマスターし、認定を取得しましょう：

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousAnti-Forensic Techniques NextImage Acquisition & Mount

Last updated 1 day ago