Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dockerコンテナからホストのrootを取る話

Avatar for narupi narupi
September 29, 2019
Technology
9
2.6k

 Dockerコンテナからホストのrootを取る話

Vulnerable Docker VMを利用してDooD環境のコンテナからホストのrootを取る話。
モブセキュリティLT第一回(2019/09/29)で利用。

Avatar for narupi

narupi

September 29, 2019
Tweet

More Decks by narupi

See All by narupi
VulnerableDockerVM Writeup
Avatar for narupi narupi
0
200

Other Decks in Technology

See All in Technology
Logik: A Free and Open-source FPGA Toolchain
Avatar for Masanori Ogino omasanori
0
290
ソフトウェアテストのAI活用_ver1.50
Avatar for fumisuke fumisuke
0
300
エンジニアにとってコードと並んで重要な「データ」のお話 - データが動くとコードが見える:関数型=データフロー入門
Avatar for Izumu KUSUNOKI ismk
0
460
エンタープライズ企業における開発効率化のためのコンテキスト設計とその活用
Avatar for sergicalsix sergicalsix
1
330
【Android】テキスト選択色の問題修正で心がけたこと
Avatar for tonionagauzzi tonionagauzzi
0
130
Post-AIコーディング時代のエンジニア生存戦略
Avatar for shinoyu shinoyu
0
250
エンジニアに定年なし! AI時代にキャリアをReboot — 学び続けて未来を創る
Avatar for JunjiKoide junjikoide
0
180
“それなりに”安全なWebアプリケーションの作り方
Avatar for Ryusei Ishikawa xryuseix
0
290
Pythonで構築する全国市町村ナレッジグラフ: GraphRAGを用いた意味的地域検索への応用
Avatar for negi111111 negi111111
8
3.4k
コミュニティと共に変化する 私とFusicの8年間
Avatar for MasayaYoshino ayasamind
0
450
レビュー負債を解消する ― CodeRabbitが支えるAI駆動開発
Avatar for Atsushi Nakatsugawa moongift
PRO
0
110
内部品質・フロー効率・コミュニケーションコストを悪化させ現場を苦しめかねない16の組織設計アンチパターン[超簡易版] / 16 Organization Design Anti-Patterns for Software Development
Avatar for mtx2s mtx2s
2
200

Featured

See All Featured
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
7.8k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.1k
A better future with KSS
Avatar for Kyle Neath kneath
239
18k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
66k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1371
200k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.2k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
31
2.7k

Transcript

  1. Dockerコンテナからホストの rootを取る話 2019/09/29 narupi(@ei1528)

  2. 自己紹介  narupi  Twitter : @ei1528  CTFをしている(Forensicが好き)

  3. 動機  最近Dockerにムカついたので破壊したくなった

  4. 注意事項  ここで得た技術得た知識/技術の悪用厳禁  検証は自己責任  管理下以外のサーバ/アプリケーションに対して攻撃を行わない  初心者なので内容に間違いがある場合がある

  5. 検証環境  NotSoSecureが提供しているVulnerable Docker VM を利用 (https://www.notsosecure.com/vulnerable-docker-vm/ )  CTF形式

  6. コンテナに侵入する  入り口はWordPress  WordPressが動いているコンテナには簡単に侵入できる

  7. コンテナ間を移動する  nmapを利用してコンテナが利用しているIP帯に対してスキャンを行う  他のコンテナに侵入するとdocker.sockが見える (コンテナで実行しているサービスについて調べると、起動時にマウントする必要があるらしい)

  8. docker.sockについて  UNIXドメインソケット(プロセス間でデータを通信するためのもの)  マウントしたdocker.sockに書き込み権限が与えられているとまずい  dockerのvolumeマウントはデフォルトでread write権限となる(オプションで:roをつけることで read onlyになる)

    DockerCLI DockerEngine API Docker Daemon Unixソケット

  9. docker.sockがマウントされていると  コンテナ内からホストのDockerDaemonにアクセスできる  つまりコンテナ内で実行したDockerコマンドはホスト側で実行される DockerCLI DockerEngine API Docker Daemon

    Unixソケット ホスト コンテナ DockerCLI Unixソケット

  10. コンテナからホストのrootを取る  dockerコマンドがホストで実行できる状況の場合、以下の手順でホストのrootを取ることができ る 1. コンテナ内にdockerをインストールする(意図的にdocker daemonを共有している場合はインス トールされているはず) 2. ホストのルートディレクトリをマウントしたコンテナを起動する(例:docker

    run –it –v /:/HOGE ubuntu:latest bash) 3. マウントしたディレクトリHOGEをルートディレクトリに変更する(chroot /HOGE)

  11. Dockerは安全?  基本的にはDockerを利用することでアプリケーションに脆弱性があった場合でも、影響範囲をコ ンテナ内に留める事ができる  マウントには気をつける必要がある(ホストへのアクセスを許容してしまうリスク)  不明なdocker imageは利用しない(悪意のあるスクリプトが埋め込まれているリスク) 

    Docker19.03から非rootユーザでもdockerd(デーモン)を実行できるようになった (Rootlessモード)

  12. 余談(DinDとDooD)  コンテナ内からコンテナを操作する方法として、Docker in Docker(DinD)とDocker outside of Docker(DooD)がある  DinDはDocker本体の開発を効率化されるために生み出された手法らしい

    (http://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/)  DooDはDockerの管理をコンテナから行えるようにする手法らしい (CI用途などで利用されるらしい)

  13. DinD  DinD対応イメージを利用してコンテナを作る  デフォルトの権限ではDockerデーモンを起動できないのでprivilegedオプションを利用する必要が ある(すべてのデバイスへのアクセスが可能になる)  暗黙的にData Volumeが利用されコンテナとホストのリソースを共有する 

    ホストとコンテナが階層化されるのでお互いに見えない

  14. DooD  ホストのDocker.sockをマウントすることでDockerデーモンを共有する  ホスト側のDockerをコンテナ側から実行する  コンテナからホスト側が見える  DinDのようにゴミが溜まることはない

  15. まとめ  そもそもコンテナに侵入されないようにしよう  ボリュームのマウントには気をつけよう

  16. 参考  https://oioki.me/2017/09/vulnerable-docker-vm/  https://darksh3ll.info/index.php/18-write-up-vulnerable-docker-vm-by-notsosecure-com  https://rimuru.lunanet.gr.jp/notes/post/how-to-root-from-inside-container/  https://www.lvh.io/posts/dont-expose-the-docker-socket-not-even-to-a-container.html 

    https://qiita.com/sugiyasu-qr/items/85a1bedb6458d4573407  https://blog.nijohando.jp/post/docker-in-docker-docker-outside-of-docker/  https://qiita.com/toto1310/items/64d7db407d31fd802f9c