Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-03 15:53:43 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/forensics/basic-forensic-methodology/docker-forensics.md

120 lines
6.4 KiB
Markdown
Raw Normal View History

Translated to Afrikaans
2024-02-11 02:07:06 +00:00
# Docker Forensika
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
<details>
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacking-truuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-repos.
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
</details>
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## Houer-wysiging
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Daar is vermoedens dat 'n sekere Docker-houer gekompromitteer is:
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```bash
docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
cc03e43a052a lamp-wordpress "./run.sh" 2 minutes ago Up 2 minutes 80/tcp wordpress
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Jy kan maklik **die wysigings wat aan hierdie houer gedoen is met betrekking tot die prent** vind met:
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```bash
docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
In die vorige opdrag beteken **C** **Veranderd** en **A,** **Bygevoeg**.\
As jy vind dat 'n interessante lêer soos `/etc/shadow` gewysig is, kan jy dit van die houer aflaai om vir skadelike aktiwiteit te ondersoek met:
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```bash
Update docker-forensics.md
2022-09-09 16:42:39 +00:00
docker cp wordpress:/etc/shadow.
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Jy kan dit ook **vergelyk met die oorspronklike een** deur 'n nuwe houer te hardloop en die lêer daaruit te onttrek:
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```bash
docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As jy vind dat **'n verdagte lêer bygevoeg is**, kan jy toegang verkry tot die houer en dit nagaan:
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```bash
docker exec -it wordpress bash
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## Beeldwysigings
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Wanneer jy 'n uitgevoerde docker-beeld (waarskynlik in `.tar`-formaat) ontvang, kan jy [**container-diff**](https://github.com/GoogleContainerTools/container-diff/releases) gebruik om 'n opsomming van die wysigings te **onttrek**:
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```bash
GitBook: [master] 2 pages modified
2021-01-03 12:04:12 +00:00
docker save <image> > image.tar #Export the image to a .tar file
GitBook: [master] one page modified
2021-09-26 23:02:14 +00:00
container-diff analyze -t sizelayer image.tar
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
container-diff analyze -t history image.tar
GitBook: [master] one page modified
2021-09-26 23:02:14 +00:00
container-diff analyze -t metadata image.tar
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Dan kan jy die prentjie **ontplooi** en **toegang verkry tot die blobs** om te soek na verdagte lêers wat jy dalk in die veranderingsgeskiedenis gevind het:
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
```bash
tar -xf image.tar
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
### Basiese Analise
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Jy kan **basiese inligting** kry van die lopende prentjie:
GitBook: [#2926] No subject
2021-12-29 12:26:06 +00:00
```bash
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
docker inspect <image>
GitBook: [#2926] No subject
2021-12-29 12:26:06 +00:00
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Jy kan ook 'n opsomming van die **geskiedenis van veranderinge** kry met:
GitBook: [#2926] No subject
2021-12-29 12:26:06 +00:00
```bash
docker history --no-trunc <image>
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Jy kan ook 'n **dockerfile van 'n prentjie** genereer met:
GitBook: [#2926] No subject
2021-12-29 12:26:06 +00:00
```bash
alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
### Duik
GitBook: [#2926] No subject
2021-12-29 12:26:06 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Om bygevoegde/gewysigde lêers in Docker-beelde te vind, kan jy ook die [**duik**](https://github.com/wagoodman/dive) (laai dit af vanaf [**vrystellings**](https://github.com/wagoodman/dive/releases/tag/v0.10.0)) nut gebruik:
GitBook: [master] one page modified
2021-09-26 23:02:14 +00:00
```bash
#First you need to load the image in your docker repo
sudo docker load < image.tar 1
Loaded image: flask:latest
#And then open it with dive:
sudo dive flask:latest
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Dit stel jou in staat om **deur die verskillende blobs van Docker-beelde te blaai** en te kyk watter lêers gewysig/toegevoeg is. **Rooi** beteken toegevoeg en **geel** beteken gewysig. Gebruik **tab** om na die ander aansig te skuif en **spasie** om vouers in/uit te vou.
GitBook: [master] 423 pages and one asset modified
2021-01-04 11:12:31 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Met die sal jy nie toegang tot die inhoud van die verskillende fases van die beeld hê nie. Om dit te doen, sal jy elke laag moet dekomprimeer en toegang daartoe hê.\
Jy kan al die lae van 'n beeld dekomprimeer vanuit die gids waar die beeld gedekomprimeer is deur die volgende uit te voer:
GitBook: [master] one page modified
2021-09-26 23:02:14 +00:00
```bash
tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## Legitieme inligting uit geheue
GitBook: [master] one page modified
2021-09-26 23:02:14 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Let daarop dat wanneer jy 'n docker-houer binne 'n gasheer uitvoer, **kan jy die prosesse wat op die houer loop vanaf die gasheer sien** deur eenvoudig `ps -ef` uit te voer.
GitBook: [master] 3 pages modified
2021-01-03 11:59:52 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Daarom kan jy (as root) **die geheue van die prosesse uit die gasheer dump** en soek na **legitieme inligting** net [**soos in die volgende voorbeeld**](../../linux-hardening/privilege-escalation/#process-memory).
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
<details>
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
* As jy wil hê jou **maatskappy geadverteer moet word in HackTricks** of **HackTricks in PDF wil aflaai**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks-uitrusting**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
</details>
Reference in a new issue Copy permalink