Docker Forensics

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

通过 8kSec 学院深化您在 移动安全 方面的专业知识。通过我们的自学课程掌握 iOS 和 Android 安全并获得认证：

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

容器修改

有怀疑某些 docker 容器被入侵：

docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc03e43a052a        lamp-wordpress      "./run.sh"          2 minutes ago       Up 2 minutes        80/tcp              wordpress

您可以轻松地找到与镜像相关的对该容器所做的修改：

docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...

在之前的命令中，C 代表 Changed，而 A 代表 Added。如果你发现某个有趣的文件，比如 /etc/shadow 被修改了，你可以使用以下命令从容器中下载它以检查恶意活动：

docker cp wordpress:/etc/shadow.

您还可以将其与原始文件进行比较，通过运行一个新容器并从中提取文件：

docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow

如果您发现添加了一些可疑文件，您可以访问容器并检查它：

docker exec -it wordpress bash

Images modifications

当你获得一个导出的 docker 镜像（可能是 .tar 格式）时，你可以使用 container-diff 来 提取修改的摘要：

docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar

然后，您可以解压缩映像并访问 blobs以搜索您可能在更改历史中发现的可疑文件：

tar -xf image.tar

基本分析

您可以通过运行镜像获取基本信息：

docker inspect <image>

您还可以通过以下方式获取更改历史的摘要：

docker history --no-trunc <image>

您还可以使用以下命令从镜像生成 dockerfile：

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>

Dive

为了在docker镜像中查找添加/修改的文件，您还可以使用dive（从releases下载）：

#First you need to load the image in your docker repo
sudo docker load < image.tar                                                                                                                                                                                                         1 ⨯
Loaded image: flask:latest

#And then open it with dive:
sudo dive flask:latest

这允许您浏览不同的docker镜像的blob并检查哪些文件被修改/添加。红色表示添加，黄色表示修改。使用tab键移动到其他视图，使用space键折叠/打开文件夹。

使用die，您将无法访问镜像不同阶段的内容。要做到这一点，您需要解压每一层并访问它。您可以通过在解压镜像的目录中执行以下命令来解压镜像的所有层：

tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done

从内存中获取凭证

请注意，当您在主机内运行 docker 容器时，您可以通过运行 ps -ef 查看容器中运行的进程。

因此（作为 root），您可以从主机转储进程的内存并搜索凭证，就像以下示例中所示。

通过 8kSec Academy 深入了解您的移动安全专业知识。通过我们的自学课程掌握 iOS 和 Android 安全并获得认证：

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

支持 HackTricks

查看订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或在 Twitter 🐦 @hacktricks_live上关注我们。
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

PreviousAnti-Forensic Techniques NextImage Acquisition & Mount

Last updated 1 day ago