Devoops: 启用raw_exec的Nomad漏洞利用
“Nomad是一种灵活的容器编排工具,使组织能够使用单一统一工作流程轻松部署和管理任何容器化或传统应用程序。Nomad可以运行各种工作负载,包括Docker、非容器化、微服务和批处理应用程序,通常为开发人员和操作员提供以下好处…”
来自:https://www.nomadproject.io/intro/index.html
要了解它在HashiCorp生态系统中的位置,请查看以下图表:
![Nomad在HashiCorp生态系统中的位置]
我要感谢Will Butler让我在观看他攻击之后写下这篇文章。
您可以使用以下教程启动开发环境: https://www.nomadproject.io/intro/getting-started/install.html
演练将让您以开发环境运行,不会绑定到0.0.0.0,因此在Vagrant启动后,您需要以下服务器和客户端文件来获得适当的环境。
服务器:https://gist.github.com/carnal0wnage/ce4296137414bd16fcca0818208b39b7 客户端1:https://gist.github.com/carnal0wnage/4abde0ee31f4d730019e6fa04ef6d3b6 客户端2:https://gist.github.com/carnal0wnage/a4399019a943862e57283c29994ce5da
如果一切正常运行,您应该能够连接到端口4646上的UI并看到示例作业
|
|
Nomad UI中的作业:
![Nomad UI中的作业]
Nomad UI中的服务器:
![Nomad UI中的服务器]
Nomad UI中的客户端:
![Nomad UI中的客户端]
利用错误配置
Nomad附带了一个默认禁用的raw_exec选项。
参考:https://www.nomadproject.io/docs/drivers/raw_exec.html
raw_exec选项允许您在Nomad主机上在隔离环境之外运行命令。
“raw_exec驱动程序可以在所有支持的操作系统上运行。出于安全原因,默认情况下它是禁用的。要启用raw_exec,Nomad客户端配置必须在客户端的选项中显式启用raw_exec驱动程序:”
如何查看客户端上是否启用了raw_exec模块?
您可以在UI中查看:
![UI中检查raw_exec状态]
或者通过访问API端点:
![API端点检查raw_exec状态]
让我们利用这个漏洞
我们需要创建一个包含我们命令的作业hcl文件。这是一个简单的示例:
https://gist.github.com/carnal0wnage/25b391126dadefe0a9523fb421bf8f33
![作业配置]
启动服务:
![启动服务]
我们作业的结果:
![作业结果]
UI中的作业:
![UI中的作业]
停止作业:
![停止作业]
强制运行垃圾回收:
![强制垃圾回收]
验证作业已被删除:
![验证作业删除]
现在让我们获取一个反向shell。我使用了以下hcl文件:
https://gist.github.com/carnal0wnage/4a436a8dc0dcb142a8c836e48916dd71
![反向shell作业]
来自Nomad的Shell:
![来自Nomad的Shell]