Devoops: 启用raw_exec的Nomad安全分析

“Nomad是一种灵活的容器编排工具，使组织能够使用单一统一工作流轻松部署和管理任何容器化或传统应用程序。Nomad可以运行各种工作负载，包括Docker、非容器化、微服务和批处理应用程序，通常为开发人员和操作人员提供以下好处…”

来自：https://www.nomadproject.io/intro/index.html

环境搭建

要获得开发环境并运行，可以使用以下教程： https://www.nomadproject.io/intro/getting-started/install.html

教程中将其作为开发环境运行，不会绑定到0.0.0.0，因此在Vagrant启动后，您需要以下服务器和客户端文件来获得适当的环境。

服务器：https://gist.github.com/carnal0wnage/ce4296137414bd16fcca0818208b39b7 客户端1：https://gist.github.com/carnal0wnage/4abde0ee31f4d730019e6fa04ef6d3b6 客户端2：https://gist.github.com/carnal0wnage/a4399019a943862e57283c29994ce5da

如果一切正常运行，您应该能够连接到端口4646上的UI并看到示例作业。

利用配置错误

Nomad附带了一个默认禁用的raw_exec选项。

参考：https://www.nomadproject.io/docs/drivers/raw_exec.html

raw_exec选项允许您在nomad主机上在隔离环境之外运行命令。

“raw_exec驱动程序可以在所有支持的操作系统上运行。出于安全原因，默认情况下它是禁用的。要启用raw_exec，Nomad客户端配置必须在客户端的选项中显式启用raw_exec驱动程序：”

如何检查raw_exec模块是否在客户端启用？

您可以在UI中查看：

或者通过访问API端点查看。

漏洞利用

我们需要创建一个包含我们命令的作业hcl文件。这是一个简单的示例：

https://gist.github.com/carnal0wnage/25b391126dadefe0a9523fb421bf8f33

启动服务

我们的作业结果

UI中的作业

停止作业

强制运行垃圾收集

验证作业已被删除

获取反向Shell

我使用了以下hcl文件：

https://gist.github.com/carnal0wnage/4a436a8dc0dcb142a8c836e48916dd71

反向Shell作业

来自Nomad的Shell

安全防护

通过ACL锁定Nomad的信息： https://www.nomadproject.io/guides/security/acl.html