7.6 KiB
Namespace CGroup
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
- Adquira o material oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Participe do 💬 grupo do Discord ou do grupo do Telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub HackTricks e HackTricks Cloud.
Informações Básicas
Um namespace CGroup é um recurso do kernel Linux que fornece isolamento de hierarquias de cgroup para processos em execução dentro de um namespace. Cgroups, abreviação de control groups, são um recurso do kernel que permite organizar processos em grupos hierárquicos para gerenciar e impor limites nos recursos do sistema como CPU, memória e I/O.
Embora os namespaces CGroup não sejam um tipo de namespace separado como os outros que discutimos anteriormente (PID, mount, network, etc.), eles estão relacionados ao conceito de isolamento de namespace. Namespaces CGroup virtualizam a visão da hierarquia de cgroup, de modo que processos em execução dentro de um namespace CGroup têm uma visão diferente da hierarquia em comparação com processos em execução no host ou em outros namespaces.
Como funciona:
- Quando um novo namespace CGroup é criado, ele começa com uma visão da hierarquia de cgroup baseada no cgroup do processo criador. Isso significa que processos em execução no novo namespace CGroup só verão um subconjunto da hierarquia de cgroup inteira, limitado à subárvore de cgroup na raiz do cgroup do processo criador.
- Processos dentro de um namespace CGroup verão seu próprio cgroup como a raiz da hierarquia. Isso significa que, do ponto de vista dos processos dentro do namespace, seu próprio cgroup aparece como a raiz, e eles não podem ver ou acessar cgroups fora de sua própria subárvore.
- Namespaces CGroup não fornecem diretamente isolamento de recursos; eles apenas fornecem isolamento da visão da hierarquia de cgroup. O controle e isolamento de recursos ainda são aplicados pelos próprios subsistemas de cgroup (por exemplo, cpu, memória, etc.).
Para mais informações sobre CGroups, confira:
{% content-ref url="../cgroups.md" %} cgroups.md {% endcontent-ref %}
Laboratório:
Criar diferentes Namespaces
CLI
sudo unshare -C [--mount-proc] /bin/bash
Ao montar uma nova instância do sistema de arquivos /proc usando o parâmetro --mount-proc, você garante que o novo namespace de montagem tenha uma visão precisa e isolada das informações de processo específicas para aquele namespace.
Erro: bash: fork: Não é possível alocar memória
Quando unshare é executado sem a opção -f, um erro é encontrado devido à forma como o Linux lida com novos namespaces de PID (ID de Processo). Os detalhes principais e a solução são descritos abaixo:
- Explicação do Problema:
- O kernel do Linux permite que um processo crie novos namespaces usando a chamada de sistema
unshare. No entanto, o processo que inicia a criação de um novo namespace de PID (referido como o processo "unshare") não entra no novo namespace; apenas seus processos filhos o fazem. - Executar
%unshare -p /bin/bash%inicia/bin/bashno mesmo processo queunshare. Consequentemente,/bin/bashe seus processos filhos estão no namespace de PID original. - O primeiro processo filho de
/bin/bashno novo namespace torna-se o PID 1. Quando este processo sai, ele aciona a limpeza do namespace se não houver outros processos, pois o PID 1 tem o papel especial de adotar processos órfãos. O kernel do Linux então desativa a alocação de PID naquele namespace.
- Consequência:
- A saída do PID 1 em um novo namespace leva à limpeza da flag
PIDNS_HASH_ADDING. Isso resulta na falha da funçãoalloc_pidem alocar um novo PID ao criar um novo processo, produzindo o erro "Não é possível alocar memória".
- Solução:
- O problema pode ser resolvido usando a opção
-fcomunshare. Esta opção faz com queunsharebifurque um novo processo após criar o novo namespace de PID. - Executar
%unshare -fp /bin/bash%garante que o próprio comandounsharese torne o PID 1 no novo namespace./bin/bashe seus processos filhos são então contidos com segurança dentro deste novo namespace, prevenindo a saída prematura do PID 1 e permitindo a alocação normal de PID.
Ao garantir que unshare seja executado com a flag -f, o novo namespace de PID é corretamente mantido, permitindo que /bin/bash e seus sub-processos operem sem encontrar o erro de alocação de memória.
Docker
docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash
Verifique em qual namespace seu processo está
ls -l /proc/self/ns/cgroup
lrwxrwxrwx 1 root root 0 Apr 4 21:19 /proc/self/ns/cgroup -> 'cgroup:[4026531835]'
Encontrar todos os namespaces CGroup
{% code overflow="wrap" %}
sudo find /proc -maxdepth 3 -type l -name cgroup -exec readlink {} \; 2>/dev/null | sort -u
# Find the processes with an specific namespace
sudo find /proc -maxdepth 3 -type l -name cgroup -exec ls -l {} \; 2>/dev/null | grep <ns-number>
{% endcode %}
Entrar em um namespace CGroup
nsenter -C TARGET_PID --pid /bin/bash
Também, você só pode entrar em outro namespace de processo se for root. E você não pode entrar em outro namespace sem um descritor apontando para ele (como /proc/self/ns/cgroup).
Referências
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o material oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios github HackTricks e HackTricks Cloud.