이전 명령어에서 C는 **변경됨(Changed)**을 의미하고, A는 **추가됨(Added)**을 의미합니다.
만약 /etc/shadow와 같은 흥미로운 파일이 수정되었다고 판단된다면, 악성 활동을 확인하기 위해 해당 컨테이너에서 다운로드할 수 있습니다:
dockercpwordpress:/etc/shadow.
새 컨테이너를 실행하고 파일을 추출하여 원본과 비교할 수도 있습니다:
dockerrun-dlamp-wordpressdockercpb5d53e8b468e:/etc/shadoworiginal_shadow#Get the file from the newly created containerdifforiginal_shadowshadow
만약 의심스러운 파일이 추가되었다는 것을 발견한다면, 컨테이너에 접근하여 확인할 수 있습니다:
dockerexec-itwordpressbash
이미지 수정
당신에게 내보낸 도커 이미지 (아마도 .tar 형식일 것입니다)가 주어지면 container-diff를 사용하여 수정 내용 요약을 추출할 수 있습니다:
dockersave<image>>image.tar#Export the image to a .tar filecontainer-diffanalyze-tsizelayerimage.tarcontainer-diffanalyze-thistoryimage.tarcontainer-diffanalyze-tmetadataimage.tar
그런 다음 이미지를 압축 해제하고 블롭에 액세스하여 변경 내역에서 발견한 수상한 파일을 검색할 수 있습니다:
tar-xfimage.tar
기본 분석
이미지를 실행하여 기본 정보를 얻을 수 있습니다:
dockerinspect<image>
다음과 같이 변경 내역의 요약을 얻을 수도 있습니다:
dockerhistory--no-trunc<image>
이미지에서 도커파일을 생성할 수도 있습니다. 다음과 같이 하면 됩니다:
alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"dfimage-sV=1.36madhuakula/k8s-goat-hidden-in-layers>
Dive
도커 이미지에서 추가/수정된 파일을 찾기 위해 dive도 사용할 수 있습니다. (다음 릴리스에서 다운로드할 수 있습니다.) 유틸리티:
#First you need to load the image in your docker reposudo docker load < image.tar 1 ⨯
Loadedimage:flask:latest#And then open it with dive:sudodiveflask:latest
이를 통해 도커 이미지의 다른 덩어리를 탐색하고 수정/추가된 파일을 확인할 수 있습니다. 빨간색은 추가된 것을 의미하고 노란색은 수정된 것을 의미합니다. 탭을 사용하여 다른 뷰로 이동하고 스페이스바를 사용하여 폴더를 축소/확장할 수 있습니다.
die를 사용하면 이미지의 다른 단계의 내용에 액세스할 수 없습니다. 이를 위해 각 레이어를 압축 해제하고 액세스해야 합니다.
이미지가 압축 해제된 디렉토리에서 모든 레이어를 압축 해제할 수 있습니다. 다음을 실행하세요.
tar-xfimage.tarfor d in`find*-maxdepth0-typed`; docd $d; tar-xf./layer.tar; cd..; done
메모리에서 자격 증명 얻기
참고로 호스트 내에서 도커 컨테이너를 실행할 때 호스트에서 컨테이너에서 실행 중인 프로세스를 볼 수 있습니다. ps -ef를 실행하면 됩니다.
따라서 (루트 권한으로) 호스트에서 프로세스의 메모리를 덤프하고 다음 예시처럼자격 증명을 검색할 수 있습니다.
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!
HackTricks를 지원하는 다른 방법:
회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
