Weaponizing Distroless
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Distroless 컨테이너는 특정 애플리케이션을 실행하는 데 필요한 종속성만 포함된 컨테이너의 일종으로, 필요하지 않은 추가 소프트웨어나 도구는 포함되지 않습니다. 이러한 컨테이너는 가볍고 안전하게 설계되었으며, 불필요한 구성 요소를 제거하여 공격 표면을 최소화하는 것을 목표로 합니다.
Distroless 컨테이너는 보안과 신뢰성이 가장 중요한 생산 환경에서 자주 사용됩니다.
Distroless 컨테이너의 몇 가지 예는 다음과 같습니다:
Chainguard에서 제공: https://github.com/chainguard-images/images/tree/main/images
Distroless 컨테이너를 무기화하는 목표는 distroless에 의해 암시된 제한에도 불구하고 임의의 바이너리와 페이로드를 실행할 수 있는 것입니다 (시스템에 일반적인 바이너리가 부족함) 그리고 읽기 전용 또는 실행 금지와 같은 컨테이너에서 일반적으로 발견되는 보호 기능도 포함됩니다.
2023년의 어느 시점에...
****이 게시물에서는, 바이너리 **openssl
**이 이러한 컨테이너에서 자주 발견된다고 설명하고 있으며, 이는 컨테이너 내에서 실행될 소프트웨어에 필요하기 때문일 수 있습니다.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)