Sensitive Mounts
Last updated
Last updated
AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)
/proc
및 /sys
의 노출은 적절한 네임스페이스 격리 없이는 공격 표면 확대 및 정보 노출과 같은 중요한 보안 위험을 초래할 수 있습니다. 이러한 디렉토리에는 민감한 파일이 포함되어 있으며, 잘못 구성되거나 무단으로 액세스되면 컨테이너 탈출, 호스트 수정 또는 추가 공격을 돕는 정보 제공이 가능합니다. 예를 들어, -v /proc:/host/proc
를 잘못 마운트하면 경로 기반의 특성으로 인해 AppArmor 보호를 우회할 수 있어 /host/proc
가 보호되지 않게 됩니다.
각 잠재적인 취약점에 대한 자세한 내용은 https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts에서 찾을 수 있습니다.
/proc/sys
이 디렉토리는 일반적으로 sysctl(2)
를 통해 커널 변수를 수정할 수 있도록 허용하며, 관련 하위 디렉토리가 여러 개 있습니다:
/proc/sys/kernel/core_pattern
core(5)에 설명되어 있음.
핵심 파일 생성 시 처음 128바이트를 인수로 사용하여 실행할 프로그램을 정의할 수 있습니다. 파일이 파이프 |
로 시작하면 코드 실행이 가능합니다.
테스트 및 악용 예시:
/proc/sys/kernel/modprobe
proc(5)에 자세히 나와 있음.
커널 모듈 로더의 경로를 포함하며, 커널 모듈을 로드할 때 호출됩니다.
액세스 확인 예시:
/proc/sys/vm/panic_on_oom
proc(5)에 언급되어 있음.
OOM 조건이 발생할 때 커널이 패닉 또는 OOM 킬러를 호출하는 전역 플래그입니다.
/proc/sys/fs
proc(5)에 따르면 파일 시스템에 대한 옵션 및 정보가 포함되어 있습니다.
쓰기 액세스는 호스트에 대한 다양한 서비스 거부 공격을 활성화할 수 있습니다.
/proc/sys/fs/binfmt_misc
매직 넘버에 따라 비네이티브 바이너리 형식에 대한 해석기를 등록할 수 있습니다.
/proc/sys/fs/binfmt_misc/register
가 쓰기 가능하면 권한 상승 또는 루트 쉘 액세스가 가능합니다.
관련 악용 및 설명:
상세한 튜토리얼: 비디오 링크
/proc
의 기타 항목/proc/config.gz
CONFIG_IKCONFIG_PROC
가 활성화되어 있으면 커널 구성을 노출할 수 있습니다.
실행 중인 커널의 취약점을 식별하는 데 유용합니다.
/proc/sysrq-trigger
Sysrq 명령을 호출할 수 있어 즉시 시스템 재부팅이나 기타 중요한 작업을 유발할 수 있습니다.
호스트 재부팅 예시:
/proc/kmsg
커널 링 버퍼 메시지를 노출합니다.
커널 악용, 주소 누출 및 민감한 시스템 정보 제공에 도움이 될 수 있습니다.
/proc/kallsyms
커널 내보낸 심볼과 그 주소를 나열합니다.
특히 KASLR을 극복하는 데 필수적인 커널 악용 개발에 중요합니다.
주소 정보는 kptr_restrict
가 1
또는 2
로 설정되어 제한됩니다.
proc(5)에 자세한 내용이 있습니다.
/proc/[pid]/mem
커널 메모리 장치 /dev/mem
과 상호 작용합니다.
역사적으로 권한 상승 공격에 취약했습니다.
proc(5)에서 자세한 내용을 확인할 수 있습니다.
/proc/kcore
ELF 코어 형식으로 시스템의 물리적 메모리를 나타냅니다.
읽기는 호스트 시스템 및 다른 컨테이너의 메모리 내용을 노출할 수 있습니다.
큰 파일 크기는 읽기 문제나 소프트웨어 충돌을 유발할 수 있습니다.
2019년 /proc/kcore 덤프에서 자세한 사용법을 확인할 수 있습니다.
/proc/kmem
커널 가상 메모리를 나타내는 /dev/kmem
의 대체 인터페이스입니다.
읽기 및 쓰기를 허용하여 커널 메모리를 직접 수정할 수 있습니다.
/proc/mem
물리적 메모리를 나타내는 /dev/mem
의 대체 인터페이스입니다.
읽기 및 쓰기를 허용하며, 모든 메모리의 수정에는 가상 주소를 물리 주소로 변환해야 합니다.
/proc/sched_debug
PID 네임스페이스 보호를 우회하여 프로세스 스케줄링 정보를 반환합니다.
프로세스 이름, ID 및 cgroup 식별자를 노출합니다.
/proc/[pid]/mountinfo
프로세스의 마운트 네임스페이스에 대한 마운트 지점 정보를 제공합니다.
컨테이너 rootfs
또는 이미지의 위치를 노출합니다.
/sys
취약점/sys/kernel/uevent_helper
커널 장치 uevent
를 처리하는 데 사용됩니다.
/sys/kernel/uevent_helper
에 쓰기하면 uevent
트리거 시 임의의 스크립트를 실행할 수 있습니다.
악용 예시: %%%bash
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
host_path=$(sed -n 's/.\perdir=([^,]).*/\1/p' /etc/mtab)
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
echo change > /sys/class/mem/null/uevent
cat /output %%%
/sys/class/thermal
온도 설정을 제어하여 DoS 공격이나 물리적 손상을 유발할 수 있습니다.
/sys/kernel/vmcoreinfo
커널 주소를 노출하여 KASLR을 compromise할 수 있습니다.
/sys/kernel/security
securityfs
인터페이스를 포함하며, AppArmor와 같은 Linux Security Modules의 구성을 허용합니다.
액세스 권한을 통해 컨테이너가 MAC 시스템을 비활성화할 수 있습니다.
/sys/firmware/efi/vars
와 /sys/firmware/efi/efivars
NVRAM의 EFI 변수와 상호 작용하기 위한 인터페이스를 노출합니다.
잘못된 구성 또는 악용으로 인해 브릭된 노트북이나 부팅할 수 없는 호스트 머신으로 이어질 수 있습니다.
/sys/kernel/debug
debugfs
는 커널에 대한 "no rules" 디버깅 인터페이스를 제공합니다.
제한이 없는 성격으로 인한 보안 문제의 역사가 있습니다.
AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)