docker逃逸漏洞复现 cve-2019-5736

系统管理员 2021-09-07 06:01 361阅读 0赞

## 0x01 概述 ##

2019年2月11日，runC的维护团队报告了一个新发现的漏洞，该漏洞最初由Adam Iwaniuk和Borys Poplawski发现。该漏洞编号为CVE-2019-5736，漏洞影响在默认设置下运行的Docker容器，并且攻击者可以使用它来获得主机上的root级访问权限。

## 0x02 漏洞原理 ##

漏洞点在于runC，RunC是一个容器运行时，最初是作为Docker的一部分开发的，后来作为一个单独的开源工具和库被提取出来。作为“低级别”容器运行时，runC主要由“高级别”容器运行时（例如Docker）用于生成和运行容器，尽管它可以用作独立工具。  
像Docker这样的“高级别”容器运行时通常会实现镜像创建和管理等功能，并且可以使用runC来处理与运行容器相关的任务：创建容器、将进程附加到现有容器等。  
在Docker 18.09.2之前的版本中使用了的runc版本小于1.0-rc6，因此允许攻击者重写宿主机上的runc 二进制文件，攻击者可以在宿主机上以root身份执行命令。

## 0x03 利用方式 ##

*  宿主机利用攻击者提供的image来创建一个新的container 。
 *  拥有container root权限，并且该container后续被docker exec attach。

一句话描述，docker 18.09.2之前的runc存在漏洞，攻击者可以修改runc的二进制文件导致提权。

## 0x04 影响版本 ##

docker version <=18.09.2  
RunC version <=1.0-rc6

## 0x05 漏洞复现 ##

1.安装漏洞环境。（Ubuntu16.04）  
https://gist.githubusercontent.com/thinkycx/e2c9090f035d7b09156077903d6afa51/raw/  
![在这里插入图片描述][20200129161518933.png]  
测试环境：  
![在这里插入图片描述][20200129161549142.png]

2.编译go脚本生成攻击payload。  
（https://github.com/Frichetten/CVE-2019-5736-PoC）  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xoaDEzNA_size_16_color_FFFFFF_t_70]  
将go脚本中的命令修改为反弹shell  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xoaDEzNA_size_16_color_FFFFFF_t_70 1]  
编译生成payload  
CGO\_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go  
![在这里插入图片描述][20200129161705605.png]  
3.将该payload拷贝到docker容器中（此时可以模拟攻击者获取了docker容器权限，在容器中上传payload进行docker逃逸）

docker cp main e3:/home
    docker exec -it e3 bash
    cd /home/
    chmod 777 main

*  1
 *  2
 *  3
 *  4

![在这里插入图片描述][20200129161756275.png]

4.执行payload，等待受害者去启动docker容器。  
![在这里插入图片描述][20200129161812218.png]  
攻击者开启nc监听  
![在这里插入图片描述][20200129161820794.png]

5.受害者启动docker容器时，触发payload。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xoaDEzNA_size_16_color_FFFFFF_t_70 2]  
6.成功反弹shell。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xoaDEzNA_size_16_color_FFFFFF_t_70 3]

## 0x06 参考 ##

https://thinkycx.me/2019-05-23-CVE-2019-5736-docker-escape-recurrence.html  
https://www.4hou.com/vulnerable/16361.html  
https://github.com/Frichetten/CVE-2019-5736-PoC

[20200129161518933.png]: /images/20210728/578af71e507c40ae91aec051148d59b0.png
[20200129161549142.png]: /images/20210728/f13d5407a44445389ef0d9f3cd674ed6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xoaDEzNA_size_16_color_FFFFFF_t_70]: /images/20210728/06d29f1802c24949a32a0dd54b80b10b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xoaDEzNA_size_16_color_FFFFFF_t_70 1]: /images/20210728/617c096dc12549bfa28dd5abb175cc3a.png
[20200129161705605.png]: /images/20210728/5c15a732892949b3bfb12dd2facd016a.png
[20200129161756275.png]: /images/20210728/1d33ab50ece2449d80639c7ff32096fc.png
[20200129161812218.png]: /images/20210728/ace7e93773f54becbc714db297b3204f.png
[20200129161820794.png]: /images/20210728/1b465eebd0284adaa47530a03cdf4676.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xoaDEzNA_size_16_color_FFFFFF_t_70 2]: /images/20210728/536ea666dea44385bce186405ae0d30d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xoaDEzNA_size_16_color_FFFFFF_t_70 3]: /images/20210728/85463e0eaa4847f499bc2a8d04826e4d.png