本章节收录云环境和云服务商常见漏洞
待补充
- 【oci】nvidia container toolkit使用OCI创建容器,在prestart阶段没有限制环境变量的继承。通过在容器里设置LD_PRELOAD环境变量,在pivot_root之前会被hook点要执行的nvidia-ctk程序加载,导致特权进程被注入,实现容器逃逸
- 【k8s】azure实现了一个bridge node来转发az exec请求,每次请求都会带上service token。利用runc漏洞逃逸到node节点后,通过mitmproxy劫持到node的请求,即可获取这个token。检查token后,发现是cluster-admin角色,至此整个集群沦陷
- 【k8s】利用Google Cloud SQL命令注入漏洞获取了容器内的反弹shell,因为docker用的是宿主机网络且拥有raw socket权限,可以伪造本地所有服务的响应。Google Guest Agent每隔一段时间就请求metadata地址,通过rshhijack工具按照SEQ + ACK号进行注入,让Google Guest Agent在宿主机上增加了一个新的用户和SSH key,实现了容器逃逸
- https://www.wiz.io/blog/brokensesame-accidental-write-permissions-to-private-registry-allowed-potential-r
- 【k8s】在阿里云AnalyticDB for PG上拿到shell,发现PID NS没有隔离;发现tsar程序会以root权限定期执行,且会依赖一个可写的so,通过修改so完成当前容器内提权;发现界面上某个操作会触发另一个容器的scp操作,两个容器使用同一个home目录,通过复制suid程序+修改LocalCommand实现第二个容器的控制和提权;在第二个容器里发现docker.sock完成逃逸
- 【k8s】ApsaraDB在升级检查功能上,将数据库里pg_user拼接到命令行里执行,通过界面上修改pg_authid.rolname修改后可实现RCE;由于是特权容器,可以直接修改core_pattern完成逃逸。
待补充
待补充
待补充