Docker release_agent cgroups escape
WhiteIntel is 'n dark-web aangedrewe soekenjin wat gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte gekompromiteer is deur steelmalware.
Die primêre doel van WhiteIntel is om rekening-oorneemings en lospryse-aanvalle te bekamp wat voortspruit uit inligtingsteelmalware.
Jy kan hul webwerf besoek en hul enjin vir gratis probeer by:
Vir verdere besonderhede, verwys na die oorspronklike blogpos. Hierdie is net 'n opsomming:
Oorspronklike PoC:
Die bewys van konsep (PoC) demonstreer 'n metode om cgroups te misbruik deur 'n release_agent
lêer te skep en sy aanroeping te trigger om willekeurige bevele op die houer-gashuis uit te voer. Hier is 'n uiteensetting van die stappe wat betrokke is:
Berei die Omgewing Voor:
'n Gids
/tmp/cgrp
word geskep om as 'n koppelingspunt vir die cgroup te dien.Die RDMA cgroup-beheerder word aan hierdie gids gekoppel. In geval van afwesigheid van die RDMA-beheerder, word dit voorgestel om die
memory
cgroup-beheerder as 'n alternatief te gebruik.
Stel die Kind Cgroup op:
'n Kind cgroup met die naam "x" word geskep binne die gemoniteerde cgroup gids.
Kennisgewings word geaktiveer vir die "x" cgroup deur 1 na sy notify_on_release lêer te skryf.
Stel die Vrystellingsagent in:
Die pad van die houer op die gasheer word verkry uit die /etc/mtab-lêer.
Die release_agent-lêer van die cgroup word daarna ingestel om 'n skrip genaamd /cmd uit te voer wat op die verkrygte gasheerpad geleë is.
Skep en Konfigureer die /cmd Skrip:
Die /cmd skrip word binne die houer geskep en ingestel om ps aux uit te voer, waar die uitset na 'n lêer genaamd /output in die houer omgelei word. Die volledige pad van /output op die gasheer word gespesifiseer.
Lokaliseer die Aanval:
'n Proses word geïnisieer binne die "x" kind cgroup en word onmiddellik beëindig.
Dit lok die
release_agent
(die /cmd-skrip) uit, wat ps aux op die gasheer uitvoer en die uitset na /uitset binne die houer skryf.
WhiteIntel is 'n dark-web aangedrewe soekenjin wat gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte deur diewe malware is gekompromiteer.
Hul primêre doel van WhiteIntel is om rekening-oorneemings en afpersingsaanvalle te beveg wat voortspruit uit inligtingsteel-malware.
Jy kan hul webwerf besoek en hul enjin gratis probeer by:
Last updated