Views: 1219
đ© Dans cet article Docker Group LPE, nous allons passer d’un utilisateur lambda sans droits mais dans le groupe docker Ă l’utilisateur root Ă l’aide d’une mauvaise configuration et utilisation de docker.
Docker Group Privilege Escalation :
đ§Ÿ Afin de rĂ©aliser cette attaque, j’ai installĂ© une machine Linux ayant dĂ©jĂ docker de prĂ©installĂ© Ă l’aide de ce tutoriel suivant et en mettant l’utilisateur ubuntu18 dans le groupe docker Ă ce moment de l’installation :
Comme prévu notre utilisateur fait bien parti du groupe docker !
Ce qui nous permet d’utiliser docker complĂštement avec cet utilisateur et donc de monter le volume hĂŽte sur l’un de nos conteneurs.
Premier cas
â ïž Dans ce premier cas, nous partons du principe que nous avons un accĂšs sur la machine direct et qu’elle a bien accĂšs Ă internet sans rĂšgles spĂ©cifiques au niveau du firewall.
Nous allons tout simplement pull une image comme par exemple celle d’ubuntu qui n’est pas prĂ©sente sur la machine c’est donc pour cette raison que nous avons besoin d’un accĂšs rĂ©seau vers le docker hub.
docker run -v /:/mnt -it ubuntu
Grùce à ceci nous pouvons lire le fichier présent dans /root et prouvant la réussite de cette technique :
đ Il est possible aprĂšs ça de changer/supprimer le hash de l’utilisateur root dans le fichier /etc/shadow et Ă©galement de crĂ©er une clĂ© ssh pour ce mĂȘme utilisateur.
Second cas
â ïž Dans notre second cas, nous partons du principe que nous sommes dans un CTF et connectĂ© via VPN et donc nous ne pouvons pas sortir sur internet, en gĂ©nĂ©ral une image est prĂ©sente volontairement pour nous permettre d’exploiter cette technique.
J’ai donc volontairement pull l’image alpine et rĂ©pĂ©ter la mĂȘme mĂ©thode que le premier cas.
Et c’est parti pour la mĂȘme opĂ©ration mais avec l’image alpine locale dĂ©jĂ prĂ©sente sur la machine cible.
docker run -v /:/mnt -it alpine
Salut, bon article j’ai juste dĂ©tectĂ© dans Second cas, ceci;
en gĂ©nĂ©ral une image est prĂ©sente volontairement pour nous permettre dâexploitation cette technique.
Il n’y a que toi qui puisse reformuler đ
C’est corrigĂ©, merci beaucoup !