Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dockerコンテナからホストのrootを取る話

Avatar for narupi narupi
September 29, 2019
Technology
9
2.6k

 Dockerコンテナからホストのrootを取る話

Vulnerable Docker VMを利用してDooD環境のコンテナからホストのrootを取る話。
モブセキュリティLT第一回(2019/09/29)で利用。

Avatar for narupi

narupi

September 29, 2019
Tweet

More Decks by narupi

See All by narupi
VulnerableDockerVM Writeup
Avatar for narupi narupi
0
200

Other Decks in Technology

See All in Technology
R-SCoRe: Revisiting Scene Coordinate Regression for Robust Large-Scale Visual Localization
Avatar for Takuya MINAGAWA takmin
0
410
Gaze-LLE: Gaze Target Estimation via Large-Scale Learned Encoders
Avatar for Kazuyuki Miyazawa kzykmyzw
0
310
実践アプリケーション設計 ①データモデルとドメインモデル
Avatar for Recruit recruitengineers
PRO
2
100
DeNA での思い出 / Memories at DeNA
Avatar for Kuniwak orgachem
PRO
3
1.1k
AIとTDDによるNext.js「隙間ツール」開発の実践
Avatar for Makoto Tateno makotot
5
590
VPC Latticeのサービスエンドポイント機能を使用した複数VPCアクセス
Avatar for k-kun duelist2020jp
0
170
Devinを使ったモバイルアプリ開発 / Mobile app development with Devin
Avatar for Yuki Anzai yanzm
0
170
JOAI発表資料 @ 関東kaggler会
Avatar for 日本人工知能オリンピック joai_committee
1
220
Understanding Go GC #coefl_go_jp
Avatar for 弁護士ドットコム bengo4com
0
1.1k
LLM時代の検索とコンテキストエンジニアリング
Avatar for shibuiwilliam shibuiwilliam
2
1.1k
夢の印税生活 / Life on Royalties
Avatar for とみたまさひろ tmtms
0
280
ソフトウェア エンジニアとしての 姿勢と心構え
Avatar for Recruit recruitengineers
PRO
1
260

Featured

See All Featured
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
10
780
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1.1k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
229
22k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
890
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.6k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.7k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k

Transcript

  1. Dockerコンテナからホストの rootを取る話 2019/09/29 narupi(@ei1528)

  2. 自己紹介  narupi  Twitter : @ei1528  CTFをしている(Forensicが好き)

  3. 動機  最近Dockerにムカついたので破壊したくなった

  4. 注意事項  ここで得た技術得た知識/技術の悪用厳禁  検証は自己責任  管理下以外のサーバ/アプリケーションに対して攻撃を行わない  初心者なので内容に間違いがある場合がある

  5. 検証環境  NotSoSecureが提供しているVulnerable Docker VM を利用 (https://www.notsosecure.com/vulnerable-docker-vm/ )  CTF形式

  6. コンテナに侵入する  入り口はWordPress  WordPressが動いているコンテナには簡単に侵入できる

  7. コンテナ間を移動する  nmapを利用してコンテナが利用しているIP帯に対してスキャンを行う  他のコンテナに侵入するとdocker.sockが見える (コンテナで実行しているサービスについて調べると、起動時にマウントする必要があるらしい)

  8. docker.sockについて  UNIXドメインソケット(プロセス間でデータを通信するためのもの)  マウントしたdocker.sockに書き込み権限が与えられているとまずい  dockerのvolumeマウントはデフォルトでread write権限となる(オプションで:roをつけることで read onlyになる)

    DockerCLI DockerEngine API Docker Daemon Unixソケット

  9. docker.sockがマウントされていると  コンテナ内からホストのDockerDaemonにアクセスできる  つまりコンテナ内で実行したDockerコマンドはホスト側で実行される DockerCLI DockerEngine API Docker Daemon

    Unixソケット ホスト コンテナ DockerCLI Unixソケット

  10. コンテナからホストのrootを取る  dockerコマンドがホストで実行できる状況の場合、以下の手順でホストのrootを取ることができ る 1. コンテナ内にdockerをインストールする(意図的にdocker daemonを共有している場合はインス トールされているはず) 2. ホストのルートディレクトリをマウントしたコンテナを起動する(例:docker

    run –it –v /:/HOGE ubuntu:latest bash) 3. マウントしたディレクトリHOGEをルートディレクトリに変更する(chroot /HOGE)

  11. Dockerは安全?  基本的にはDockerを利用することでアプリケーションに脆弱性があった場合でも、影響範囲をコ ンテナ内に留める事ができる  マウントには気をつける必要がある(ホストへのアクセスを許容してしまうリスク)  不明なdocker imageは利用しない(悪意のあるスクリプトが埋め込まれているリスク) 

    Docker19.03から非rootユーザでもdockerd(デーモン)を実行できるようになった (Rootlessモード)

  12. 余談(DinDとDooD)  コンテナ内からコンテナを操作する方法として、Docker in Docker(DinD)とDocker outside of Docker(DooD)がある  DinDはDocker本体の開発を効率化されるために生み出された手法らしい

    (http://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/)  DooDはDockerの管理をコンテナから行えるようにする手法らしい (CI用途などで利用されるらしい)

  13. DinD  DinD対応イメージを利用してコンテナを作る  デフォルトの権限ではDockerデーモンを起動できないのでprivilegedオプションを利用する必要が ある(すべてのデバイスへのアクセスが可能になる)  暗黙的にData Volumeが利用されコンテナとホストのリソースを共有する 

    ホストとコンテナが階層化されるのでお互いに見えない

  14. DooD  ホストのDocker.sockをマウントすることでDockerデーモンを共有する  ホスト側のDockerをコンテナ側から実行する  コンテナからホスト側が見える  DinDのようにゴミが溜まることはない

  15. まとめ  そもそもコンテナに侵入されないようにしよう  ボリュームのマウントには気をつけよう

  16. 参考  https://oioki.me/2017/09/vulnerable-docker-vm/  https://darksh3ll.info/index.php/18-write-up-vulnerable-docker-vm-by-notsosecure-com  https://rimuru.lunanet.gr.jp/notes/post/how-to-root-from-inside-container/  https://www.lvh.io/posts/dont-expose-the-docker-socket-not-even-to-a-container.html 

    https://qiita.com/sugiyasu-qr/items/85a1bedb6458d4573407  https://blog.nijohando.jp/post/docker-in-docker-docker-outside-of-docker/  https://qiita.com/toto1310/items/64d7db407d31fd802f9c