Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dockerコンテナからホストのrootを取る話

Avatar for narupi narupi
September 29, 2019
Technology
9
2.6k

 Dockerコンテナからホストのrootを取る話

Vulnerable Docker VMを利用してDooD環境のコンテナからホストのrootを取る話。
モブセキュリティLT第一回(2019/09/29)で利用。
Avatar for narupi

narupi

September 29, 2019
Tweet

More Decks by narupi

See All by narupi
VulnerableDockerVM Writeup
Avatar for narupi narupi
0
200

Other Decks in Technology

See All in Technology
ソフトウェアQAがハードウェアの人になったの
Avatar for Matsu mineo_matsuya
3
220
Amazon SNSサブスクリプションの誤解除を防ぐ
Avatar for y_sakata y_sakata
3
190
P2P通信の標準化 WebRTCを知ろう
Avatar for Akira Takahashi faithandbrave
1
210
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
6.9k
CDK Toolkit Libraryにおけるテストの考え方
Avatar for Makky12 smt7174
1
550
AWS 怖い話 WAF編 @fillz_noh #AWSStartup #AWSStartup_Kansai
Avatar for Yusuke WADA fillznoh
0
130
60以上のプロダクトを持つ組織における開発者体験向上への取り組み - チームAPIとBackstageで構築する組織の可視化基盤 - / sre next 2025 Efforts to Improve Developer Experience in an Organization with Over 60 Products
Avatar for VTRyo vtryo
3
1.9k
Copilot coding agentにベットしたいCTOが開発組織で取り組んだこと / GitHub Copilot coding agent in Team
Avatar for tnir tnir
0
200
(HackFes)米国国防総省のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現
Avatar for Shun Yoshie syoshie
4
270
LIXIL基幹システム刷新に立ち向かう技術的アプローチについて
Avatar for karacoro / からころ tsukuha
1
390
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
260
An introduction to Claude Code SDK
Avatar for Akihiro Okuno choplin
2
1.4k

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
613
210k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
161
15k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
Side Projects
Avatar for Sacha Greif sachag
455
42k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
96
6.1k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.4k

Transcript

  1. Dockerコンテナからホストの rootを取る話 2019/09/29 narupi(@ei1528)

  2. 自己紹介  narupi  Twitter : @ei1528  CTFをしている(Forensicが好き)

  3. 動機  最近Dockerにムカついたので破壊したくなった

  4. 注意事項  ここで得た技術得た知識/技術の悪用厳禁  検証は自己責任  管理下以外のサーバ/アプリケーションに対して攻撃を行わない  初心者なので内容に間違いがある場合がある

  5. 検証環境  NotSoSecureが提供しているVulnerable Docker VM を利用 (https://www.notsosecure.com/vulnerable-docker-vm/ )  CTF形式

  6. コンテナに侵入する  入り口はWordPress  WordPressが動いているコンテナには簡単に侵入できる

  7. コンテナ間を移動する  nmapを利用してコンテナが利用しているIP帯に対してスキャンを行う  他のコンテナに侵入するとdocker.sockが見える (コンテナで実行しているサービスについて調べると、起動時にマウントする必要があるらしい)

  8. docker.sockについて  UNIXドメインソケット(プロセス間でデータを通信するためのもの)  マウントしたdocker.sockに書き込み権限が与えられているとまずい  dockerのvolumeマウントはデフォルトでread write権限となる(オプションで:roをつけることで read onlyになる)

    DockerCLI DockerEngine API Docker Daemon Unixソケット

  9. docker.sockがマウントされていると  コンテナ内からホストのDockerDaemonにアクセスできる  つまりコンテナ内で実行したDockerコマンドはホスト側で実行される DockerCLI DockerEngine API Docker Daemon

    Unixソケット ホスト コンテナ DockerCLI Unixソケット

  10. コンテナからホストのrootを取る  dockerコマンドがホストで実行できる状況の場合、以下の手順でホストのrootを取ることができ る 1. コンテナ内にdockerをインストールする(意図的にdocker daemonを共有している場合はインス トールされているはず) 2. ホストのルートディレクトリをマウントしたコンテナを起動する(例:docker

    run –it –v /:/HOGE ubuntu:latest bash) 3. マウントしたディレクトリHOGEをルートディレクトリに変更する(chroot /HOGE)

  11. Dockerは安全?  基本的にはDockerを利用することでアプリケーションに脆弱性があった場合でも、影響範囲をコ ンテナ内に留める事ができる  マウントには気をつける必要がある(ホストへのアクセスを許容してしまうリスク)  不明なdocker imageは利用しない(悪意のあるスクリプトが埋め込まれているリスク) 

    Docker19.03から非rootユーザでもdockerd(デーモン)を実行できるようになった (Rootlessモード)

  12. 余談(DinDとDooD)  コンテナ内からコンテナを操作する方法として、Docker in Docker(DinD)とDocker outside of Docker(DooD)がある  DinDはDocker本体の開発を効率化されるために生み出された手法らしい

    (http://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/)  DooDはDockerの管理をコンテナから行えるようにする手法らしい (CI用途などで利用されるらしい)

  13. DinD  DinD対応イメージを利用してコンテナを作る  デフォルトの権限ではDockerデーモンを起動できないのでprivilegedオプションを利用する必要が ある(すべてのデバイスへのアクセスが可能になる)  暗黙的にData Volumeが利用されコンテナとホストのリソースを共有する 

    ホストとコンテナが階層化されるのでお互いに見えない

  14. DooD  ホストのDocker.sockをマウントすることでDockerデーモンを共有する  ホスト側のDockerをコンテナ側から実行する  コンテナからホスト側が見える  DinDのようにゴミが溜まることはない

  15. まとめ  そもそもコンテナに侵入されないようにしよう  ボリュームのマウントには気をつけよう

  16. 参考  https://oioki.me/2017/09/vulnerable-docker-vm/  https://darksh3ll.info/index.php/18-write-up-vulnerable-docker-vm-by-notsosecure-com  https://rimuru.lunanet.gr.jp/notes/post/how-to-root-from-inside-container/  https://www.lvh.io/posts/dont-expose-the-docker-socket-not-even-to-a-container.html 

    https://qiita.com/sugiyasu-qr/items/85a1bedb6458d4573407  https://blog.nijohando.jp/post/docker-in-docker-docker-outside-of-docker/  https://qiita.com/toto1310/items/64d7db407d31fd802f9c