Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 12:43:23 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/forensics/basic-forensic-methodology/docker-forensics.md

6.7 KiB
Raw Blame History

도커 포렌식

{% hint style="success" %} AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원
{% endhint %}

컨테이너 수정

어떤 도커 컨테이너가 침해당했을 가능성이 있습니다:

docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc03e43a052a        lamp-wordpress      "./run.sh"          2 minutes ago       Up 2 minutes        80/tcp              wordpress

당신은 쉽게 다음을 사용하여 이 컨테이너에 대한 이미지와 관련된 수정 사항을 찾을 수 있습니다:

docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...

이전 명령어에서 C변경됨을 의미하고 A추가됨을 의미합니다.
만약 /etc/shadow와 같은 흥미로운 파일이 수정되었다면, 악의적인 활동을 확인하기 위해 해당 파일을 컨테이너에서 다운로드할 수 있습니다:

docker cp wordpress:/etc/shadow.

당신은 새 컨테이너를 실행하고 그 파일을 추출하여 원본과 비교할 수도 있습니다:

docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow

만약 의심스러운 파일이 추가된 것을 발견하면 컨테이너에 액세스하여 확인할 수 있습니다:

docker exec -it wordpress bash

이미지 수정

내보낸 도커 이미지(아마도 .tar 형식)가 주어지면 container-diff를 사용하여 수정 사항 요약을 추출할 수 있습니다:

docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar

그럼 이미지를 압축 해제하고 블롭에 액세스하여 변경 이력에서 발견한 의심스러운 파일을 검색할 수 있습니다:

tar -xf image.tar

기본 분석

이미지를 실행하여 기본 정보를 얻을 수 있습니다:

docker inspect <image>

요약된 변경 이력을 다음과 같이 얻을 수도 있습니다:

docker history --no-trunc <image>

이미지에서 도커파일을 생성할 수도 있습니다:

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>

다이브

도커 이미지에서 추가/수정된 파일을 찾으려면 dive를 사용할 수도 있습니다 (릴리스에서 다운로드).

#First you need to load the image in your docker repo
sudo docker load < image.tar                                                                                                                                                                                                         1 
Loaded image: flask:latest

#And then open it with dive:
sudo dive flask:latest

이를 통해 도커 이미지의 다른 덩어리를 탐색하고 어떤 파일이 수정/추가되었는지 확인할 수 있습니다. 빨간색은 추가된 것을 의미하고 노란색은 수정된 것을 의미합니다. 을 사용하여 다른 뷰로 이동하고 스페이스를 사용하여 폴더를 축소/열기할 수 있습니다.

Die를 사용하면 이미지의 다른 단계의 내용에 액세스할 수 없습니다. 이를 위해 각 레이어를 압축 해제하고 액세스해야합니다.
이미지의 모든 레이어를 압축 해제하려면 이미지가 압축 해제된 디렉토리에서 다음을 실행하십시오:

tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done

메모리에서 자격 증명

호스트 내에서 도커 컨테이너를 실행할 때 호스트에서 컨테이너에서 실행 중인 프로세스를 볼 수 있습니다. 단순히 ps -ef를 실행하면 됩니다.

따라서 (루트로) 호스트에서 프로세스의 메모리를 덤프하고 다음 예시와 같이 자격 증명을 검색할 수 있습니다.

{% hint style="success" %} AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기
{% endhint %}