Weaponizing Distroless

Reading time: 2 minutes

tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

Co to jest Distroless

Kontener distroless to rodzaj kontenera, który zawiera tylko niezbędne zależności do uruchomienia konkretnej aplikacji, bez dodatkowego oprogramowania lub narzędzi, które nie są wymagane. Te kontenery są zaprojektowane, aby być jak najlżejsze i bezpieczne jak to możliwe, a ich celem jest minimalizacja powierzchni ataku poprzez usunięcie wszelkich zbędnych komponentów.

Kontenery distroless są często używane w środowiskach produkcyjnych, gdzie bezpieczeństwo i niezawodność są kluczowe.

Niektóre przykłady kontenerów distroless to:

Weaponizing Distroless

Celem uzbrojenia kontenera distroless jest możliwość wykonywania dowolnych binarek i ładunków, nawet z ograniczeniami narzuconymi przez distroless (brak powszechnych binarek w systemie) oraz ochronami powszechnie spotykanymi w kontenerach, takimi jak tylko do odczytu lub brak wykonania w /dev/shm.

Przez pamięć

Nadchodzi w pewnym momencie 2023...

Poprzez istniejące binarki

openssl

****W tym poście, wyjaśniono, że binarka openssl jest często znajdowana w tych kontenerach, potencjalnie dlatego, że jest potrzebna przez oprogramowanie, które ma działać wewnątrz kontenera.

tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks