hacktricks/forensics/basic-forensic-methodology/docker-forensics.md

डॉकर फोरेंसिक्स

☁️ हैकट्रिक्स क्लाउड ☁️ -🐦 ट्विटर 🐦 - 🎙️ ट्विच 🎙️ - 🎥 यूट्यूब 🎥

• क्या आप किसी साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को हैकट्रिक्स में विज्ञापित करना चाहते हैं? या क्या आपको PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करने की आवश्यकता है? सदस्यता योजनाएं की जांच करें!

• खोजें The PEASS Family, हमारा विशेष संग्रह NFTs

• प्राप्त करें आधिकारिक PEASS और HackTricks स्वैग

• शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या फॉलो करें मुझे ट्विटर 🐦@carlospolopm.

• अपने हैकिंग ट्रिक्स को हैकट्रिक्स रेपो और हैकट्रिक्स-क्लाउड रेपो में पीआर जमा करके साझा करें।

कंटेनर संशोधन

कुछ संदेह है कि किसी डॉकर कंटेनर में हमला हुआ है:

docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc03e43a052a        lamp-wordpress      "./run.sh"          2 minutes ago       Up 2 minutes        80/tcp              wordpress

आप इस कंटेनर में की गई संशोधनों को आसानी से खोज सकते हैं जो छवि के संबंध में किए गए हैं, इसके साथ:

docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...

पिछले कमांड में C का मतलब बदला हुआ होता है और A, का मतलब जोड़ा गया होता है।
यदि आपको पता चलता है कि कोई दिलचस्प फ़ाइल जैसे /etc/shadow में संशोधन किया गया है, तो आप इसे कंटेनर से डाउनलोड करके जांच सकते हैं कि क्या इसमें कोई दुष्ट गतिविधि है:

docker cp wordpress:/etc/shadow.

आप इसे मूल फ़ाइल के साथ तुलना कर सकते हैं एक नया कंटेनर चला कर और उससे फ़ाइल निकालकर:

docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow

यदि आपको पता चलता है कि कुछ संदिग्ध फ़ाइल जोड़ी गई है, तो आप कंटेनर तक पहुंच सकते हैं और इसे जांच सकते हैं:

docker exec -it wordpress bash

छवि संशोधन

जब आपको एक निर्यातित डॉकर छवि (संभवतः .tar प्रारूप में) दी जाती है, तो आप container-diff का उपयोग करके संशोधनों का सारांश निकाल सकते हैं:

docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar

तब, आप इमेज को डीकंप्रेस कर सकते हैं और ब्लॉब्स तक पहुंच सकते हैं ताकि आप चेंज हिस्ट्री में पाए गए संदेहजनक फ़ाइलों की खोज कर सकें:

tar -xf image.tar

मूल्यांकन का मूलभूत विश्लेषण

आप चल रही इमेज से मूलभूत जानकारी प्राप्त कर सकते हैं:

docker inspect <image>

आप इसके साथ एक संक्षेपिक परिवर्तन का इतिहास भी प्राप्त कर सकते हैं:

docker history --no-trunc <image>

आप एक छवि से भी एक डॉकरफ़ाइल उत्पन्न कर सकते हैं इसके साथ:

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>

डाइव

डॉकर इमेज में जोड़ी गई / संशोधित फ़ाइलें ढूंढ़ने के लिए आप यहां उपयोग कर सकते हैं डाइव (इसे रिलीज़ से डाउनलोड करें) उपयोगी:

#First you need to load the image in your docker repo
sudo docker load < image.tar                                                                                                                                                                                                         1 ⨯
Loaded image: flask:latest

#And then open it with dive:
sudo dive flask:latest

यह आपको डॉकर इमेज के विभिन्न ब्लॉब के माध्यम से नेविगेट करने और जांचने की अनुमति देता है कि कौन से फ़ाइलें संशोधित/जोड़ी गई हैं। लाल रंग में जोड़ी गई और पीला रंग में संशोधित हुई हैं। दूसरे दृश्य में जाने के लिए टैब का उपयोग करें और फ़ोल्डर को संकुचित/खोलने के लिए स्पेस का उपयोग करें।

डाई के साथ आप इमेज के विभिन्न स्टेज के सामग्री तक पहुंच नहीं पा एंगे। इसके लिए आपको प्रत्येक लेयर को डीकंप्रेस करके उस तक पहुंचने की आवश्यकता होगी। आप इमेज के सभी लेयर को डीकंप्रेस कर सकते हैं जो इमेज को डीकंप्रेस किया गया था उसी निर्देशिका से निर्वाचित करके निम्नलिखित को निष्पादित करके:

tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done

मेमोरी से क्रेडेंशियल्स

ध्यान दें कि जब आप एक होस्ट के अंदर एक डॉकर कंटेनर चलाते हैं तो आप होस्ट से कंटेनर पर चल रहे प्रोसेस को देख सकते हैं बस ps -ef चलाकर

इसलिए (रूट के रूप में) आप होस्ट से प्रोसेसों की मेमोरी डंप कर सकते हैं और क्रेडेंशियल्स की खोज कर सकते हैं बस निम्नलिखित उदाहरण की तरह।

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करने की इच्छा है? सदस्यता योजनाएं की जांच करें!

• खोजें The PEASS Family, हमारा विशेष NFTs संग्रह।

• प्राप्त करें आधिकारिक PEASS & HackTricks swag

• शामिल हों 💬 Discord समूह या टेलीग्राम समूह या मुझे ट्विटर पर फ़ॉलो करें 🐦@carlospolopm.

• अपने हैकिंग ट्रिक्स साझा करें, hacktricks रेपो और hacktricks-cloud रेपो में पीआर जमा करके।