Docker Forensics
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:
어떤 도커 컨테이너가 손상되었을 가능성이 있습니다:
이 컨테이너에서 이미지와 관련하여 수행된 수정 사항을 쉽게 찾을 수 있습니다:
이전 명령에서 C는 Changed를 의미하고 A는 Added를 의미합니다.
/etc/shadow
와 같은 흥미로운 파일이 수정된 것을 발견하면, 악의적인 활동을 확인하기 위해 컨테이너에서 다운로드할 수 있습니다:
당신은 또한 새 컨테이너를 실행하고 그로부터 파일을 추출하여 원본과 비교할 수 있습니다:
만약 의심스러운 파일이 추가되었다면 컨테이너에 접근하여 확인할 수 있습니다:
내보낸 도커 이미지(아마도 .tar
형식)를 받으면 container-diff를 사용하여 수정 사항의 요약을 추출할 수 있습니다:
그런 다음, 이미지를 압축 해제하고 블롭에 접근하여 변경 이력에서 발견한 의심스러운 파일을 검색할 수 있습니다:
이미지에서 기본 정보를 얻으려면 다음을 실행하세요:
변경 사항의 요약 이력을 다음과 같이 얻을 수 있습니다:
You can also generate a dockerfile from an image with: 이미지에서 dockerfile을 생성할 수 있습니다:
docker 이미지에서 추가되거나 수정된 파일을 찾기 위해 dive ( releases에서 다운로드) 유틸리티를 사용할 수 있습니다:
이것은 당신이 도커 이미지의 다양한 블롭을 탐색하고 어떤 파일이 수정되었거나 추가되었는지 확인할 수 있게 해줍니다. 빨간색은 추가된 것을 의미하고 노란색은 수정된 것을 의미합니다. 탭을 사용하여 다른 보기로 이동하고 스페이스를 사용하여 폴더를 축소/열 수 있습니다.
die를 사용하면 이미지의 다양한 단계의 콘텐츠에 접근할 수 없습니다. 그렇게 하려면 각 레이어를 압축 해제하고 접근해야 합니다. 이미지가 압축 해제된 디렉토리에서 다음을 실행하여 이미지의 모든 레이어를 압축 해제할 수 있습니다:
호스트 내에서 도커 컨테이너를 실행할 때 호스트에서 컨테이너에서 실행 중인 프로세스를 볼 수 있습니다 ps -ef
를 실행하기만 하면 됩니다.
따라서 (루트로) 호스트에서 프로세스의 메모리를 덤프하고 자격 증명을 검색할 수 있습니다 다음 예제와 같이.
8kSec 아카데미와 함께 모바일 보안에 대한 전문성을 심화하세요. 자율 학습 과정을 통해 iOS 및 Android 보안을 마스터하고 인증을 받으세요:
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)