Docker release_agent cgroups escape
WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za wizi.
Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.
Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:
Kwa maelezo zaidi, tazama chapisho la blogi la asili. Hii ni muhtasari tu:
Poc ya Asili:
Uthibitisho wa dhana (PoC) unaonyesha njia ya kutumia cgroups kwa kuunda faili ya release_agent
na kuzindua wito wake kutekeleza amri za kupindukia kwenye mwenyeji wa kontena. Hapa kuna maelezo ya hatua zilizohusika:
Andaa Mazingira:
Dhibiti
/tmp/cgrp
inaundwa kutumika kama kituo cha kufunga kwa cgroup.Msimamizi wa cgroup wa RDMA unafungwa kwa saraka hii. Kwa kesi ya kutokuwepo kwa msimamizi wa RDMA, inapendekezwa kutumia msimamizi wa cgroup wa
memory
kama mbadala.
Wekeza Kikundi cha Mtoto:
Kikundi cha mtoto kinachoitwa "x" kinaundwa ndani ya saraka iliyofungwa ya kikundi.
Taarifa zinaanzishwa kwa kikundi cha "x" kwa kuandika 1 kwenye faili yake ya notify_on_release.
Sanidi Wakala wa Kutolewa:
Njia ya chombo kwenye mwenyeji inapatikana kutoka faili ya /etc/mtab.
Faili ya release_agent ya cgroup inasanidiwa kutekeleza script iliyoitwa /cmd iliyoko kwenye njia ya mwenyeji iliyopatikana.
Unda na Sanidi Skripti ya /cmd:
Skripti ya /cmd inaundwa ndani ya chombo na kusanidiwa kutekeleza ps aux, ikielekeza matokeo kwenye faili iliyoitwa /output kwenye chombo. Njia kamili ya /output kwenye mwenyeji inatajwa.
Kuzindua Shambulio:
Mchakato unaanzishwa ndani ya cgroup ya mtoto "x" na mara moja unakomeshwa.
Hii inazindua
release_agent
(script ya /cmd), ambayo inatekeleza ps aux kwenye mwenyeji na kuandika matokeo kwa /output ndani ya kontena.
WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za kuiba.
Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.
Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:
Last updated