<summary><strong>Aprenda hacking AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
A Plataforma Docker é a plataforma de contêiner líder do setor para inovação contínua e de alta velocidade, permitindo que organizações construam e compartilhem qualquer aplicativo - desde legados até o que está por vir - e os executem com segurança em qualquer lugar.
* **[containerd](http://containerd.io)** é um tempo de execução para contêineres capaz de **gerenciar todo o ciclo de vida de um contêiner, incluindo a transferência e armazenamento de imagens, bem como a execução, supervisão e rede do contêiner**. **Mais detalhes sobre o containerd são fornecidos abaixo**.
* O manuseio de contêineres sem interface gráfica é facilitado pelo container-shim, que atua como intermediário. Especificamente, após a inicialização dos contêineres pelo runc, o controle é passado para o container-shim.
* **[runc](http://runc.io)** é reconhecido como um tempo de execução de contêiner leve e universal que está em conformidade com a especificação OCI. É utilizado pelo containerd para iniciar e gerenciar contêineres de acordo com as especificações OCI e representa uma versão renomeada do libcontainer.
* Com o objetivo de facilitar a comunicação entre containerd e o docker-engine, é empregado o **[grpc](http://www.grpc.io)**.
* A especificação OCI para tempo de execução e imagens é mantida pela **[OCI](https://www.opencontainers.org)**, sendo que as versões atuais do Docker estão em conformidade com as especificações de imagem e tempo de execução da OCI.
Containerd foi projetado para ser usado pelo Docker e Kubernetes, bem como por qualquer outra plataforma de contêiner que deseje **abstrair chamadas de sistema ou funcionalidades específicas do sistema operacional para executar contêineres** no Linux, Windows, Solaris ou outros sistemas operacionais. Com esses usuários em mente, queríamos garantir que o containerd tenha apenas o que eles precisam e nada do que não precisam. Realisticamente, isso é impossível, mas pelo menos é o que tentamos fazer. Coisas como **rede estão fora do escopo do containerd**. A razão para isso é que, ao construir um sistema distribuído, a rede é um aspecto muito central. Com SDN e descoberta de serviços hoje, a rede é muito mais específica da plataforma do que abstrair chamadas netlink no Linux.
Observe então que **o Docker usa o Containerd, mas ele fornece apenas um subconjunto das funcionalidades que o Docker oferece**. Portanto, por exemplo, o ContainerD não possui os recursos de gerenciamento de rede do Docker, nem você pode usar o ContainerD sozinho para criar enxames do Docker.
Um mecanismo de contêiner de código aberto, compatível com OCI ([Open Container Initiative](https://github.com/opencontainers)), conhecido como Podman, é mantido pela Red Hat. Ele se destaca de Docker por sua estrutura sem daemon e suporte para contêineres que não requerem acesso root. A função principal de ambas as ferramentas é gerenciar imagens e contêineres. Um objetivo notável do Podman é a compatibilidade com a API do Docker, permitindo o uso de quase todos os comandos da CLI do Docker dentro do Podman.
Dentro do ecossistema do Podman, estão presentes duas ferramentas adicionais, Buildah e Skopeo. Buildah atua como uma ferramenta CLI para construir imagens de contêiner, enquanto Skopeo é utilizado para operações em imagens como push, pull ou inspect. Para mais informações sobre essas ferramentas e sua integração com o Podman, [consulte a página deles no GitHub](https://github.com/containers/buildah/tree/master/docs/containertools).
A distinção mais significativa entre Docker e Podman está em seu design arquitetônico. O Docker opera em um modelo cliente-servidor, exigindo o uso da CLI do Docker para interagir com um daemon em segundo plano responsável pela construção de imagens e execução de contêineres, que opera com privilégios de root. Em contraste, o Podman emprega uma arquitetura sem daemon, permitindo que contêineres sejam executados sob os privilégios do usuário iniciante sem exigir acesso root. Esse design garante que os usuários do Podman possam interagir apenas com seus próprios contêineres, sem um daemon compartilhado para comunicação da CLI.
Para acomodar a operação de contêineres em segundo plano sem um daemon, o Podman se integra ao **systemd**, permitindo o gerenciamento de contêineres por meio de unidades systemd. Essa integração varia com a versão do Podman, oferecendo a capacidade de gerar unidades para contêineres existentes e ainda a serem criados, além de facilitar a operação do systemd dentro dos contêineres. Ao contrário do Podman, o Docker tradicionalmente depende do systemd para o gerenciamento de processos de daemon.
Outra diferença crítica está na execução de contêineres. O Podman permite que os contêineres sejam executados com os privilégios do usuário iniciante, não sob um daemon. Isso introduz o conceito de contêineres sem raiz, que podem ser iniciados sem acesso root, oferecendo uma vantagem significativa em segurança ao limitar o impacto potencial de violações de contêiner. Os contêineres sem raiz garantem que um invasor de contêiner comprometido possua apenas os privilégios de um usuário normal no host, impedindo a escalada de privilégios além dos do usuário iniciante e, assim, aprimorando a segurança.
A API remota está em execução por padrão na porta 2375 quando habilitada. O serviço por padrão não exigirá autenticação, permitindo que um atacante inicie um contêiner docker privilegiado. Ao usar a API remota, é possível anexar hosts / (diretório raiz) ao contêiner e ler/escrever arquivos do ambiente do host.
Se você pode **acessar a API remota do docker com o comando `docker`**, você pode **executar** qualquer um dos **comandos docker** [**comentados anteriormente**](2375-pentesting-docker.md#basic-commands) para interagir com o serviço.
Às vezes você verá **2376** disponível para o endpoint **TLS**. Não consegui me conectar a ele com o cliente docker, mas você pode usar o curl sem problemas para acessar a API do docker.
Se deseja mais informações sobre isso, mais informações estão disponíveis de onde copiei os comandos: [https://securityboulevard.com/2019/02/abusing-docker-api-socket/](https://securityboulevard.com/2019/02/abusing-docker-api-socket/)
Se você estiver dentro de um host que está usando o Docker, você pode [**ler estas informações para tentar elevar os privilégios**](../linux-hardening/privilege-escalation/#writable-docker-socket).
* Você pode usar a ferramenta [https://github.com/docker/docker-bench-security](https://github.com/docker/docker-bench-security) para inspecionar sua instalação atual do Docker.
* Você pode usar a ferramenta [https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained) para verificar os privilégios que um contêiner terá ao ser executado com diferentes opções de segurança. Isso é útil para saber as implicações de usar algumas opções de segurança para executar um contêiner:
* Você pode usar uma imagem do Docker de [https://github.com/quay/clair](https://github.com/quay/clair) para escanear suas outras imagens do Docker e encontrar vulnerabilidades.
*`docker run --rm -v /root/clair_config/:/config -p 6060-6061:6060-6061 -d clair -config="/config/config.yaml"`
* Você pode usar a ferramenta [https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter) para **inspecionar seu Dockerfile** e encontrar todos os tipos de configurações incorretas. Cada configuração incorreta receberá um ID, você pode encontrar aqui [https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md) como corrigir cada uma delas.
* Você pode usar a ferramenta [https://github.com/replicatedhq/dockerfilelint](https://github.com/replicatedhq/dockerfilelint) para **inspecionar seu Dockerfile** e encontrar todos os tipos de configurações incorretas.
* Você pode usar a ferramenta [https://github.com/RedCoolBeans/dockerlint](https://github.com/RedCoolBeans/dockerlint) para **inspecionar seu Dockerfile** e encontrar todos os tipos de configurações incorretas.
* Você pode usar a ferramenta [https://github.com/hadolint/hadolint](https://github.com/hadolint/hadolint) para **inspecionar seu Dockerfile** e encontrar todos os tipos de configurações incorretas.
* Você pode usar a ferramenta [https://github.com/falcosecurity/falco](https://github.com/falcosecurity/falco) para detectar **comportamentos suspeitos em contêineres em execução**.
* Observe no trecho a seguir como **Falco compila um módulo de kernel e o insere**. Depois disso, ele carrega as regras e **começa a registrar atividades suspeitas**. Neste caso, ele detectou 2 contêineres privilegiados iniciados, sendo que um deles com um ponto de montagem sensível, e após alguns segundos detectou a abertura de um shell dentro de um dos contêineres.
mkdir: cannot create directory '/lib/modules/5.0.0-20-generic/kernel/extra': Read-only file system
cp: cannot create regular file '/lib/modules/5.0.0-20-generic/kernel/extra/falco-probe.ko': No such file or directory
depmod...
DKMS: install completed.
* Trying to load a dkms falco-probe, if present
falco-probe found and loaded in dkms
2021-01-04T12:03:20+0000: Falco initialized with configuration file /etc/falco/falco.yaml
2021-01-04T12:03:20+0000: Loading rules from file /etc/falco/falco_rules.yaml:
2021-01-04T12:03:22+0000: Loading rules from file /etc/falco/falco_rules.local.yaml:
2021-01-04T12:03:22+0000: Loading rules from file /etc/falco/k8s_audit_rules.yaml:
2021-01-04T12:03:24+0000: Starting internal webserver, listening on port 8765
2021-01-04T12:03:24.646959000+0000: Notice Privileged container started (user=<NA> command=container:db5dfd1b6a32 laughing_kowalevski (id=db5dfd1b6a32) image=ubuntu:18.04)
2021-01-04T12:03:24.664354000+0000: Notice Container with sensitive mount started (user=<NA> command=container:4822e8378c00 xenodochial_kepler (id=4822e8378c00) image=ubuntu:modified mounts=/:/host::true:rslave)
2021-01-04T12:03:24.664354000+0000: Notice Privileged container started (user=root command=container:4443a8daceb8 focused_brahmagupta (id=4443a8daceb8) image=falco:latest)
2021-01-04T12:04:56.270553320+0000: Notice A shell was spawned in a container with an attached terminal (user=root xenodochial_kepler (id=4822e8378c00) shell=bash parent=runc cmdline=bash terminal=34816 container_id=4822e8378c00 image=ubuntu)
