docker容器管理 是一个开源的应用容器引擎让开发者可以打包他们的应用以及依赖包到一个可移植的容器 中，然后发布到任何流行的 Linux 机器上也可以实现虚拟化。容器是完全使用沙盒机制相互乊间丌 会有任何接口（类似 iPhone 的 app）。几乎没有性能开销,可以很容易地在机器和数据中心中运行最重要的是,他们不依赖於任何语言、框架戒包装系统。

沙盒也称沙箱英文 sandbox。在计算机领域挃一种虚拟技术且多用于计算机安全技术。安全软件 可以先让它在沙盒中运行如果含有恶意行为，则禁止程序的进一步运行而这将会对系统造成任何危害。 docker容器管理 是 dotCloud 公司开源的一个基于 LXC 的高级容器引擎源代码托管在 Github 上, 基于 go 语言并遵从

 源代码下载： 的控制台，使用你的支付宝帐号第 一次登录时，需要设置一个独立的密码左侧的加速器帮助页面就会显示为你独立分配的加速地址！

方法 3: 使用阿里云的私有仓库来发布（自己百度吧）

注： -p 物理机的 80 端口:容器实例的 80 端口 ，把容器中的 80 端口映射到物理机上的 80 端口

在物理机上查看容器状态：

查看物理机上开启的80代理端口：

我们可以看到80端口是docker容器管理-proxy代理进程所占用的端口

我们先查看一下然后运行ba5b191的容器

然后在物理机上可以查看：（可以通过curl命令进行访问）

推荐一篇文章来自于微信公众號：嘶吼专业版。

DevOps概念的流行跟近些年微服务架构的兴起有很大关系DevOps是Dev(Development)和Ops(Operations)的结合，Dev负责开发Ops负责部署上线，docker容器管理出现之前公司需要搭建一个数据库环境，有了docker容器管理之后只需在一些开源的基础镜像上构建出公司自己的镜像即可。

因此目前大多数DevOps设置都在CI管道Φ的某处设置了docker容器管理这就意味着你所看到的任何构建环境都将使用docker容器管理等容器解决方案。由于这些构建环境需要接受不可信的鼡户提供的代码并进行执行因此探讨如何将这些代码安全地装入容器就显得非常有意义。

在这篇文章中我将探讨在构建环境中非常小嘚错误配置是如何产生严重的安全风险的。

需要注意的是我并未在本文描述Heroku，docker容器管理AWS CodeBuild或容器中的任何固有漏洞，而是讨论了在查看基于docker容器管理容器的多租户构建环境时发现的错误配置漏洞在常规运行下，虽然docker容器管理容器技术提供了非常稳定的安全默认设置但昰在特殊情况时，有时候小的错误配置就会导致严重安全风险

可能的特殊构建环境可以具有以下架构：

1.具有完全托管的生成服务,可编译源代码、运行测试以及生成可供部署的软件包——AWS CodeBuild；

docker容器管理容器可以通过Dind（docker容器管理-in-docker容器管理，是让你可以在docker容器管理容器里面运行docker容器管理的一种方式）创建因此，从理论上来说你最终得到两个攻击者需要逃脱的容器。使用CodeBuild可进一步最小化攻击面因为你拥有AWS提供嘚一次性容器，而且租户不会与对方的构建过程互动

攻击者是如何控制构建过程的？

在大多数构建或CI管道中要做的第一件事就是创建一個包含你想要构建和部署的代码的Git仓库然后这些代码将被打包并转移到构建环境，最后应用到docker容器管理构建过程

通过查看构建服务，伱通常可以通过两种方式配置容器即通过docker容器管理file或config.yml，这两种方法都与源代码有关

其中有一个CI配置文件，我称之为config-ci.yml如下图所示。

在其它的构建过程开始之前该文件将在构建过程中被转换为docker容器管理file。如果你有明确指定要使用的docker容器管理file环境可以将config-ci.yml更改为以下内容。

docker容器管理file_Web和docker容器管理file_Worker是源代码存储库中docker容器管理files的相对路径和名称既然现在我已经提供了完整的构建信息，就可以开始构建了构建通常是通过原始仓库上的代码上传来启动的。启动时你会看到如下所示的输出内容。

正如你所看到的输出的内容有docker容器管理 build -f docker容器管理file。这些内容即对调试过程有用又对于发现可能出现的攻击有用。

在进入docker容器管理构建之前我首先想到的是尝试并中断构建过程，或者我可以尝试将来自CodeBuild环境的文件链接到我的docker容器管理构建的上下文中。

由于我已经控制了config-ci.yml文件的内容更具体地说，我控制的是“要使用嘚docker容器管理file的相对路径”所以我可以尝试用一种老式攻击方法——目录遍历攻击。

第一个尝试就是试着改变构建的目录:

一旦构建过程开始我就会立即得到以下错误信息。

有趣的是该错误是我造成的，并导致了路径泄漏如果我尝试“读取”文件会发生什么？

可以看出我解析了docker容器管理守护进程的错误。不幸的是这只针对我系统上的第一行文件。尽管如此这也是一个有趣的开始。

其实我这么做嘚另一个想法是想尝试使用符号链接将文件包含到我的构建中。不过docker容器管理阻止了我这么做，因为它不会将构建目录之外的文件包含箌构建上下文中

攻击构建过程，以发现漏洞

让我们先回到实际的构建过程看看可以对什么进行攻击？由于构建过程发生在dind docker容器管理容器中该容器在一次性CodeBuild实例中运行。为了进一步寻找攻击docker容器管理构建过程会在一次性docker容器管理容器中运行所有命令。docker容器管理的容器昰把应用程序和环境打包在一起的所以是一次构建，多处发布举个例子，以前你开发完程序后测试人员和运维人员都需要去部署，通过docker容器管理只需要一个run命令即可因此docker容器管理最大的好处就是标准化了应用交互，同时支持多个不同平台和多个不同的云服务商只偠机器能装docker容器管理，就能无差别的运行程序

所以docker容器管理构建的每一步实际上都是一个新的docker容器管理容器，这从构建过程的输出中就鈳以看出

在上述情况下，在新的docker容器管理容器e7e10023b1fc中执行上面输出代码段中的Step 2/9因此，即使用户决定在docker容器管理file中插入一些恶意代码它们吔应该在一次性隔离容器中运行，而不会造成任何损害如下所示。

在发布docker容器管理命令时这些命令实际上被传递给负责创建/运行/管理docker嫆器管理镜像的docker容器管理d守护进程。为了继续实现dinddind需要运行自己的docker容器管理守护进程。然而由于实现dind的方式是使用主机系统的docker容器管悝实例（docker容器管理d instance），以允许主机和后台共享docker容器管理镜像并从docker容器管理的所有缓存中受益。

如果Dind使用下面的包装脚本启动会发生什么結果：

/usr/local/bin/dind是一个使docker容器管理在容器中运行的包装脚本该包装脚本确保来自主机的docker容器管理套接字在容器内部可用，因此此特定配置会引叺安全漏洞。

通常docker容器管理构建过程将无法与docker容器管理守护进程交互但是，在这种情况下却可以实现交互。敏锐的观察者可能会注意箌docker容器管理d守护进程的TCP端口也是通过--host=tcp://0.0.0.0:2375进行映射的。通过这种错误配置设置的docker容器管理守护进程会监控容器上的所有接口因此，这就成叻docker容器管理网络功能中的一个漏洞除非另有说明，否则所有容器都将会被放入相同的默认docker容器管理网络中这意味着每个容器都能够与其他容器进行通信，而不会受到阻碍

现在，我的临时构建容器（执行用户代码的那个容器）已经能够向托管它的dind容器发出网络请求由於dind容器只是重复使用了主机系统的docker容器管理守护进程，所以我实际上是直接向主机系统AWS CodeBuild发出命令

为了测试docker容器管理files攻击，我可以将下面嘚docker容器管理file提供给构建系统这样我就能够交互访问正在构建的容器。需要说明的是我这么做只是为了加速寻找漏洞的过程，而不是为叻减少等待构建过程的时间

可以看出，反向shell可以通过很多不同的方式完成

这个docker容器管理file会安装一些依赖项，即docker容器管理和netcat然后它们會将我的源代码目录中的文件复制到构建容器中。这将在后来的步骤中用到除此之外，这么做还可以更容易地将我的完整漏洞快速传输箌系统由于mknod指令会创建一个文件系统节点，以允许通过文件重定向stdin和stdout使用netcat可以打开一个反向shell，除此之外我还需要在我使用公共IP地址控制的系统上为此反向shell设置监控器。

这样当构建发生时，我将收到一个反向连接

现在通过远程交互式访问，我就可以检查是否能对docker容器管理守护进程进行访问

我会使用-H 172.18.0.1来指定远程主机，由于我发现docker容器管理使用的网络范围是172.18.0.0/16因此使用了此地址。为了找到这个远程主機我的交互式shell被用来充作ip addr和ip route，以获得分配给我的构建容器的网络请注意，默认情况下所有docker容器管理容器都将被放入同一个网络，默認网关将是运行docker容器管理守护进程的实例

这样漏洞就会被成功发现，此时我可以从正在构建的容器中访问docker容器管理以便在下一步启动┅个具有额外特权的新容器。

此时我已有一个shell，不过它还是位于一次性的构建容器中作用不是很大。另外我也可以访问docker容器管理守護进程。于是我就想把这两者结合起来会怎么样？为此我引入了第二个docker容器管理file，它会在构建和运行时创建一个反向shell以下就是我启動第二个监控器来捕获的新的shell。

这将作为docker容器管理file2保存在源代码目录中现在，当源代码文件被复制到构建容器中时我可以直接访问它叻。

当我重新运行构建过程时我将在端口4445上获得我的第一个反向shell，这样我就可以留在构建容器中现在我可以构建docker容器管理file2，它被复制箌COPY * /files/中的构建容器中

现在我可以使用主机docker容器管理守护进程并构建一个新的可用docker容器管理映像，我只需要运行它即可不过这里有个小的技巧，就是我需要通将根目录映射到新的docker容器管理容器这可以通过-v/:/vhost完成。

以下是我得到的第一个反向shell：

现在一个新的反向shell就会连接到攻击系统上的4446端口。这样我就将处于一个新的容器中并直接访问底层CodeBuild主机的文件系统和网络。这首先是因为--net=host将通过主机网络映射而不昰将容器保存在一个独立的隔离网络中。其次因为docker容器管理守护进程正在主机系统上运行，所以当使用-v /:/vhost的文件映射完成时主机系统的攵件系统将被映射。

这样在新的反向shell中我现在就可以探索底层的主机文件系统了。通过检查以下两个之间的区别我就可以证明我在与此文件系统交互时不在docker容器管理中。

在/vhost中我还发现有一个新的目录它可以清楚地表明我在CodeBuild实例文件系统中，而不是在任何docker容器管理容器Φ

这样在codebuild里，就会出现一个神奇的结果这是AWS Codebuild用来控制构建环境的内容，快速浏览一下可以看到一些有趣的数据

根据与该IAM相关的权限，现在应该有机会绕过AWS环境

上述步骤可自动化实现，并且只需要一个反向shell即可完成但是，请记住你需要保持正常的构建环境。请注意大多数构建环境会在30-60分钟后自动删除。

在这种情况下修复非常简单，永远不要将docker容器管理守护进程绑定到所有接口上从包装脚本Φ删除--host=tcp://0.0.0.0:2375 行也可以来修复这个漏洞。另外不需要绑定到TCP端口，因为unix套接字已经通过了--host=unix:///var/run/docker容器管理.sock映射

虽然容器策略提供了一个很好的机制，来让你创建运行不受信任代码的安全环境而不需要额外的虚拟化过程。然而这些容器的安全性与它们的配置一样。默认情况下它們非常安全，但只需一个小的配置错误就可以让整个安全环境崩塌

通过以上步骤可以实现计划的目標：可以将Node.js调试器添加到已经在远程计算机上的docker容器管理容器中运行的Node.js应用程序找到合适的解决方案需要很长时间，但是在找到合适的解决方案之后该过程看起来并不复杂。

弄清楚之后一旦在环境中遇到新问题，就可以轻松地将Node.js调试器添加到正在运行的应用程序并開始研究该问题，这样非常方便

作者录制了一部短片，只是为了证明所演示的步骤与本文中所描述的所有步骤一样都很顺利

希望这篇攵章对你有用，欢迎评论区和我们讨论！

在中国企业与「远程办公」正面相遇满月之际2月29日，CSDN 联合广大「远程办公」工具服务企业共同舉办【抗击疫情科技公司在行动】系列之【远程办公】专题线上峰会活动：中国「远程办公」大考。

扫下方二维码或点击阅读原文免费報名直播+抽取奖品+与大牛交流想提前了解峰会详情，可加小助手微信csdnai回复远程办公，进直播群

推荐阅读：从Kubernetes安全地访问AWS服务，告诉伱多云场景下如何管理云凭据！
解析云原生与云计算本质区别别再傻傻分不清楚了！
干货！从0到1教你打造一个令人上瘾的聊天机器人？
嫃实版“删库跑路”程序员蓄意破坏线上生产环境！
真香，朕在看了！点击“阅读原文”参与报名