Docker penetration
4 likes17,089 views
— Стоит ли иметь доступ в контейнеры или не стоит; — Как получать доступ в шелл контейнера удобно и безопасно; — Как пользоваться pam_docker.
![#define _GNU_SOURCE
#include <sched.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/wait.h>
#include <fcntl.h>
int main(int argc, char **argv) {
int pid = atoi(argv[1]);
char pathbuf[100];
snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0);
snprintf(pathbuf, 100, "/proc/%d/ns/ipc", pid); setns(open(pathbuf, O_RDONLY), 0);
snprintf(pathbuf, 100, "/proc/%d/ns/uts", pid); setns(open(pathbuf, O_RDONLY), 0);
snprintf(pathbuf, 100, "/proc/%d/ns/pid", pid); setns(open(pathbuf, O_RDONLY), 0);
snprintf(pathbuf, 100, "/proc/%d/ns/mnt", pid); setns(open(pathbuf, O_RDONLY), 0);
if(fork()) {
wait(NULL);
return 0;
}
execl("/bin/bash", "/bin/bash", NULL);
}](https://image.slidesharecdn.com/dockerpenetrationpresentation-v4-160628113916/85/Docker-penetration-61-320.jpg)
Ad
More Related Content
What's hot (19)
Viewers also liked (9)
Ad
Similar to Docker penetration (20)
![[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux](https://cdn.slidesharecdn.com/ss_thumbnails/revealingrootkitsv5-170328122611-thumbnail.jpg?width=560&fit=bounds)
Ad
More from Badoo Development (20)
Docker penetration
- 1. Дмитрий Столяров v4 Проникновение в Docker с примерами
- 2. Привет! # whoami dmitry.stolyarov # hostname -d flant.ru # cat /etc/motd Проникновение в Docker с примерами
- 3. 24×7×365 L1/L2/L3/L4 DevOps SLA
- 4. Опыт
- 6. Опыт Gentoo и Linux-VServer 2006 OpenSolaris Zones
- 7. Опыт Gentoo и Linux-VServer 2006 OpenSolaris Zones procfs v1 by flant 2008
- 8. Опыт Gentoo и Linux-VServer 2006 OpenSolaris Zones procfs v1 by flant 2008 LXC
- 9. Опыт Gentoo и Linux-VServer 2006 OpenSolaris Zones procfs v1 by flant 2008 jailer by flant 2009 LXC
- 10. Опыт Gentoo и Linux-VServer 2006 OpenSolaris Zones procfs v1 by flant 2008 jailer by flant 2009 LXC Docker 2013, осень
- 11. Опыт Gentoo и Linux-VServer 2006 OpenSolaris Zones procfs v1 by flant 2008 jailer by flant 2009 LXC Docker 2013, осень Docker 2014, 6 июня
- 12. Зачем проникать в Docker?
- 13. Continuous Delivery Зачем проникать в Docker?
- 14. Тестовые окружения Continuous Delivery Зачем проникать в Docker?
- 15. Тестовые окружения Continuous Delivery Контейнеры Зачем проникать в Docker?
- 16. Тестовые окружения Continuous Delivery Контейнеры Зачем проникать в Docker? }>90%
- 17. Тестовые окружения Continuous Delivery Контейнеры }>90% Не нужен доступ Зачем проникать в Docker?
- 18. Тестовые окружения Continuous Delivery Контейнеры Нужен доступ }>90% Не нужен доступ Зачем проникать в Docker?
- 21. OpenSSH OpenSSH
- 24. OpenSSH OpenSSH :22 :22 :23 :24
- 25. OpenSSH OpenSSH :22 :22 reverse proxy :22
- 29. Что такое Docker? capabilities (2.2 / 1999)
- 30. Что такое Docker? capabilities (2.2 / 1999) namespaces
- 31. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006)
- 32. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups
- 33. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008)
- 34. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007)
- 35. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006)
- 36. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006) overlay (3.18, Dec 2014)
- 37. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006) overlay (3.18, Dec 2014) kernel
- 38. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006) overlay (3.18, Dec 2014) Docker (~2014) kernel
- 39. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006) overlay (3.18, Dec 2014) Docker (~2014) kernel
- 40. unshare( );
- 41. unshare(CLONE_NEWIPC | CLONE_NEWNS | CLONE_NEWNET | CLONE_NEWPID | CLONE_NEWUTS);
- 42. unshare(CLONE_NEWIPC | CLONE_NEWNS | CLONE_NEWNET | CLONE_NEWPID | CLONE_NEWUTS); if(fork()) { wait(NULL); return 0; }
- 43. unshare(CLONE_NEWIPC | CLONE_NEWNS | CLONE_NEWNET | CLONE_NEWPID | CLONE_NEWUTS); if(fork()) { wait(NULL); return 0; } umount("/proc"); mount("proc", "/proc", "proc", 0, 0);
- 44. unshare(CLONE_NEWIPC | CLONE_NEWNS | CLONE_NEWNET | CLONE_NEWPID | CLONE_NEWUTS); if(fork()) { wait(NULL); return 0; } umount("/proc"); mount("proc", "/proc", "proc", 0, 0); execl("/bin/bash", "/bin/bash", NULL);
- 45. #define _GNU_SOURCE #include <sched.h> #include <unistd.h> #include <sys/mount.h> #include <sys/wait.h> int main() { unshare(CLONE_NEWIPC | CLONE_NEWNS | CLONE_NEWNET | CLONE_NEWPID | CLONE_NEWUTS); if(fork()) { wait(NULL); return 0; } umount("/proc"); mount("proc", "/proc", "proc", 0, 0); execl("/bin/bash", "/bin/bash", NULL); }
- 46. # gcc unshare.c -o unshare
- 47. # gcc unshare.c -o unshare # ./unshare
- 48. # gcc unshare.c -o unshare # ./unshare # ps ax PID TTY STAT TIME COMMAND 1 pts/0 S 0:00 /bin/bash 12 pts/0 R+ 0:00 ps ax
- 49. # gcc unshare.c -o unshare # ./unshare # ps ax PID TTY STAT TIME COMMAND 1 pts/0 S 0:00 /bin/bash 12 pts/0 R+ 0:00 ps ax # netstat -natu … nothing #
- 50. pid
- 52. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); open(pathbuf, O_RDONLY)
- 53. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0);
- 54. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/ipc", pid); setns(open(pathbuf, O_RDONLY), 0);
- 55. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/ipc", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/uts", pid); setns(open(pathbuf, O_RDONLY), 0);
- 56. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/ipc", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/uts", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/pid", pid); setns(open(pathbuf, O_RDONLY), 0);
- 57. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/ipc", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/uts", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/pid", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/mnt", pid); setns(open(pathbuf, O_RDONLY), 0);
- 58. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0); ............ snprintf(pathbuf, 100, "/proc/%d/ns/mnt", pid); setns(open(pathbuf, O_RDONLY), 0);
- 59. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0); ............ snprintf(pathbuf, 100, "/proc/%d/ns/mnt", pid); setns(open(pathbuf, O_RDONLY), 0); if(fork()) { wait(NULL); return 0; }
- 60. snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0); ............ snprintf(pathbuf, 100, "/proc/%d/ns/mnt", pid); setns(open(pathbuf, O_RDONLY), 0); if(fork()) { wait(NULL); return 0; } execl("/bin/bash", "/bin/bash", NULL);
- 61. #define _GNU_SOURCE #include <sched.h> #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/wait.h> #include <fcntl.h> int main(int argc, char **argv) { int pid = atoi(argv[1]); char pathbuf[100]; snprintf(pathbuf, 100, "/proc/%d/ns/net", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/ipc", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/uts", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/pid", pid); setns(open(pathbuf, O_RDONLY), 0); snprintf(pathbuf, 100, "/proc/%d/ns/mnt", pid); setns(open(pathbuf, O_RDONLY), 0); if(fork()) { wait(NULL); return 0; } execl("/bin/bash", "/bin/bash", NULL); }
- 62. # gcc setns.c -o setns
- 63. # gcc setns.c -o setns # pstree -p $(pidof unshare) unshare(5136)───bash(5137)
- 64. # gcc setns.c -o setns # pstree -p $(pidof unshare) unshare(5136)───bash(5137) # ./setns 5137
- 65. # gcc setns.c -o setns # pstree -p $(pidof unshare) unshare(5136)───bash(5137) # ./setns 5137 # ps ax PID TTY STAT TIME COMMAND 1 pts/0 S+ 0:00 /bin/bash 42 pts/2 S 0:00 /bin/bash 52 pts/2 R+ 0:00 ps ax
- 66. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006) overlay (3.18, Dec 2014) Docker (~2014) kernel ✔
- 67. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006) overlay (3.18, Dec 2014) Docker (~2014) kernel ✔
- 69. # mkdir /sys/fs/cgroup/memory/mygroup # echo $$ > /sys/fs/cgroup/memory/mygroup/tasks
- 70. # mkdir /sys/fs/cgroup/memory/mygroup # echo $$ > /sys/fs/cgroup/memory/mygroup/tasks # cat /proc/$$/cgroup | grep memory 6:memory:/mygroup
- 71. # mkdir /sys/fs/cgroup/memory/mygroup # echo $$ > /sys/fs/cgroup/memory/mygroup/tasks # cat /proc/$$/cgroup | grep memory 6:memory:/mygroup # bash
- 72. # mkdir /sys/fs/cgroup/memory/mygroup # echo $$ > /sys/fs/cgroup/memory/mygroup/tasks # cat /proc/$$/cgroup | grep memory 6:memory:/mygroup # bash # cat /sys/fs/cgroup/memory/mygroup/tasks 2165 4562 4572
- 73. # mkdir /sys/fs/cgroup/memory/mygroup # echo $$ > /sys/fs/cgroup/memory/mygroup/tasks # cat /proc/$$/cgroup | grep memory 6:memory:/mygroup # bash # cat /sys/fs/cgroup/memory/mygroup/tasks 2165 4562 4572 # echo $$ > /sys/fs/cgroup/memory/tasks # rmdir /sys/fs/cgroup/memory/mygroup
- 74. # mkdir /sys/fs/cgroup/memory/mygroup # echo $$ > /sys/fs/cgroup/memory/mygroup/tasks # cat /proc/$$/cgroup | grep memory 6:memory:/mygroup # bash # cat /sys/fs/cgroup/memory/mygroup/tasks 2165 4562 4572 # echo $$ > /sys/fs/cgroup/memory/tasks # rmdir /sys/fs/cgroup/memory/mygroup
- 75. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006) overlay (3.18, Dec 2014) Docker (~2014) kernel ✔ ✔
- 76. Docker это rocket science?
- 78. Docker медленный для production?
- 79. Docker НЕ безопасный для production?
- 80. Что такое Docker? capabilities (2.2 / 1999) namespaces (2.6.19 / Nov 2006) cgroups (2.6.24 / Jan 2008) veth (~ Sep 2007) aufs (~ 2006) overlay (3.18, Dec 2014) Docker (~2014) kernel
- 81. Everything should be made as simple as possible, but not simpler. Albert Einstein
- 82. Что нужно чтобы войти в Docker?
- 83. Что нужно чтобы войти в Docker? Узнать pid и id контейнера
- 84. Что нужно чтобы войти в Docker? Узнать pid и id контейнера # docker inspect -f '{{.State.Pid}} {{.Id}}' container_name
- 85. Что нужно чтобы войти в Docker? Добавить в cgroup`ы Узнать pid и id контейнера
- 86. Что нужно чтобы войти в Docker? Добавить в cgroup`ы Узнать pid и id контейнера for f in $(ls /sys/fs/cgroup/*/docker/$CONTAINER_ID/tasks) do echo $$ > $f done
- 87. Что нужно чтобы войти в Docker? Добавить в cgroup`ы Узнать pid и id контейнера Сменить namepsace`ы
- 88. Что нужно чтобы войти в Docker? Добавить в cgroup`ы Узнать pid и id контейнера Сменить namepsace`ы Снять лишние capabilities
- 96. php_fpm: master
- 97. php_fpm: master W W W
- 98. php_fpm: master W W W W W W
- 99. php_fpm: master W W W W W W
- 100. Наши docker-проекты github.com/flant/docker_penetration_experiment github.com/flant/pam_docker github.com/flant/php_fpm_docker Дмитрий Столяров [email protected] linkedin.com/in/distol github.com/distol Всем спасибо! Тимофей Кириллов github.com/distorhead