标签：容器 漏洞 runc 2019 攻击者 Docker CVE docker

0x00 概述

2019年2月11日，runc的维护团队报告了一个新发现的漏洞，该漏洞最初由Adam Iwaniuk和Borys Poplawski发现。该漏洞编号为CVE-2019-5736，漏洞影响在默认设置下运行的Docker容器，并且攻击者可以使用它来获得主机上的root级访问权限。

0x01 漏洞原理

漏洞点在于runc，runc是一个容器运行时，最初是作为Docker的一部分开发的，后来作为一个单独的开源工具和库被提取出来。作为“低级别”容器运行时，runc主要由“高级别”容器运行时（例如Docker）用于生成和运行容器，尽管它可以用作独立工具。
像Docker这样的“高级别”容器运行时通常会实现镜像创建和管理等功能，并且可以使用runc来处理与运行容器相关的任务：创建容器、将进程附加到现有容等。
在Docker 18.09.2之前的版本中使用了的runc版本小于1.0-rc6，因此允许攻击者重写宿主机上的runc二进制文件，攻击者可以在宿主机上以root身份执行命令。

0x02 利用方式

宿主机利用攻击者提供的image来创建一个新的container 。
拥有container root权限，并且该container后续被docker exec attach。

一句话描述，docker 18.09.2之前的runc存在漏洞，攻击者可以修改runc的二进制文件导致提权。

0x03 漏洞复现

一、安装漏洞环境。（Ubuntu16.04）
curl https://gist.githubusercontent.com/thinkycx/e2c9090f035d7b09156077903d6afa51/raw -o install.sh && bash install.sh

第一遍安装完Docker后拉取镜像会异常缓慢，可【Ctrl】+【C】终止后添加Docker加速源

systemctl daemon-reload
service docker restart

配置完加速源后，再重新运行bash install.sh拉取镜像时就快了，完成后就进入了开启的docker容器中了。

再看下此时的漏洞环境，docker和docker-runc版本如下：

二、编译go脚本生成攻击payload

1.下载POC： GitHub - Frichetten/CVE-2019-5736-PoC: PoC for CVE-2019-5736

切换到root用户或以root用户身份编译main.go文件：sudo gedit main.go

2.修改Payload中的内容，写入一个反弹Shell的代码，其中打码部分是我服务器的IP

编译生成payload
CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go

3.将该payload拷贝到docker容器中（此时可以模拟攻击者获取了docker容器权限，在容器中上传payload进行docker逃逸） 并执行

docker cp main c37c910028ae:/home
docker exec -it c37c910028ae bash
cd /home/
chmod 777 main
./main

4.在服务器上利用NetCat监听8888端口

5.【Ctrl】+【Shift】+【T】新建一个终端，进入Docker容器中，触发Payload

6.运行后可以看到之前的终端中有回显同时服务器处收到反弹Shell

此时查看IP也会发现该IP是运行Docker的ubuntu16.04的IP，所以成功实现了Docker容器的逃逸。

标签：容器,漏洞,runc,2019,攻击者,Docker,CVE,docker
来源： https://blog.csdn.net/blue_fantasy/article/details/122403543

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。