Devoops: 启用raw_exec的Nomad

“Nomad是一个灵活的容器编排工具，它使组织能够使用单一、统一的工作流轻松部署和管理任何容器化或传统应用程序。Nomad可以运行各种工作负载，包括Docker、非容器化、微服务和批处理应用程序，并为开发人员和操作人员提供以下好处…”

引自: https://www.nomadproject.io/intro/index.html

要了解它在HashiCorp生态系统中的定位，请查看下图：

我要感谢Will Butler允许我在观察他攻破系统后写下这篇文章。

您可以使用此处的教程启动一个开发环境： https://www.nomadproject.io/intro/getting-started/install.html

该教程让您以开发环境模式运行，该模式不会绑定到0.0.0.0，因此您在执行Vagrant up之后，需要以下服务器和客户端文件来获得合适的环境。

服务器: https://gist.github.com/carnal0wnage/ce4296137414bd16fcca0818208b39b7 客户端1: https://gist.github.com/carnal0wnage/4abde0ee31f4d730019e6fa04ef6d3b6 客户端2: https://gist.github.com/carnal0wnage/a4399019a943862e57283c29994ce5da

如果一切正确启动并运行，您应该能够连接到4646端口上的UI并看到示例作业。

1
2
3
4
5
6
7
8

$ nomad job run example.nomad

==> Monitoring evaluation "ac9b4b08"
    Evaluation triggered by job "example"
    Evaluation within deployment: "8a7dfe0f"
    Allocation "57e65abe" created: node "a15034e5", group "cache"
    Evaluation status changed: "pending" -> "complete"
==> Evaluation "ac9b4b08" finished with status "complete"

Nomad UI中的作业

Nomad UI中的服务器

Nomad UI中的客户端

现在是利用错误配置的时候了。Nomad附带了一个默认禁用的raw_exec选项。

参考: https://www.nomadproject.io/docs/drivers/raw_exec.html

raw_exec选项允许您在Nomad主机上不受隔离地运行命令。

“raw_exec驱动程序可以在所有支持的操作系统上运行。出于安全原因，它默认是禁用的。要启用raw_exec，Nomad客户端配置必须在客户端的选项中明确启用raw_exec驱动程序：”

如何查看客户端上是否启用了raw_exec模块？ 您可以在UI中查看：

或者通过访问API端点：

让我们来利用这个漏洞。

我们需要创建一个包含我们命令的作业hcl文件。这里有一个简单的gist示例： https://gist.github.com/carnal0wnage/25b391126dadefe0a9523fb421bf8f33

启动服务：

我们作业的结果：

UI中的作业：

停止作业：

强制执行垃圾回收：

验证作业已被删除：

好的，让我们获取一个反向Shell。我使用了以下hcl文件： https://gist.github.com/carnal0wnage/4a436a8dc0dcb142a8c836e48916dd71

反向Shell作业：

来自Nomad的Shell：

关于通过ACL锁定Nomad的信息： https://www.nomadproject.io/guides/security/acl.html

-CG