一、基础
随着云原生应用不断普及,我们在针对linux操作系统getshell之后,我们还需要判断该shell是否处于虚拟环境中,并判断该虚拟环境的类型,通常情况下,shell的虚拟环境可能有如下三个类型:
虚拟主机
虚拟主机是指在一台物理服务器上运行的多个虚拟主机实例,每个虚拟主机实例都拥有自己的环境和资源,通常用于提供Web托管服务
注意:虚拟主机(Virtual Hosting)和虚拟机(Virtual Machine)是两个不同的概念,虚拟机是一个完整的虚拟化系统,包括操作系统、软件和硬件,可以在单个物理服务器上运行多个操作系统实例
Docker
Docker是一种虚拟化技术,利用容器化的方式将应用程序及其依赖项打包成独立、轻量级的环境,实现快速部署、高效运行和跨平台运行的功能
K8s
Kubernetes(通常简写为K8s)是一个开源的容器编排平台,通过自动化部署、扩展和管理容器化应用,实现高可用性、弹性和灵活性。它提供了集群管理、服务发现、负载均衡等功能,让用户可以更轻松地管理容器化应用的生命周期
二、思路
如果shell处于虚拟主机、Docker或K8s集群环境中,我们需要对环境进行识别,并采取针对性的措施,比如:
虚拟主机:通常考虑横向移动来扩大攻击效果
Docker:通常先进行容器逃逸,再进行内网横向移动
K8s:通常先尝试接管集群,以获取对容器和集群资源的完全控制
三、识别
首先判断当前shell是否采用了虚拟化技术:
systemd-detect-virt #识别系统虚拟机(VM)、容器还是裸机上运行
在确认采用了虚拟化技术后,常有如下检测方法可以快速识别当前所处环境类型
查看主机名和进程
容器的主机名默认随机生成的字符串,PID1非系统进程,可初步判断当前为容器环境
hostname #查看主机名
ps aux #显示系统上所有用户的详细进程信息
通过利用cgroup信息的差异
通过查看cgroup信息,可以判断当前环是否是虚拟机、Docker容器或K8s集群:
cat /proc/1/cgroup #用于查看进程ID为1的系统进程(通常是Init进程)所属的cgroup信息,即用于控制和管理进程资源使用的容器技术
也可以针对性的查找关键词,例如针对Docker字符串:
grep 'docker' /proc/1/cgroup #查找是否存在‘Docker’字符串
检查根目录下.dockerenv文件
通过判断根目录下的.dockerenv文件是否存在,确认当前环是否为容器环境:
ls -alh/dockerenv #列出/dockerenv目录下的所有文件和目录,并显示详细信息以及人类可读的文件大小
通过检查挂载信息
通过检查挂载信息,推测当前环境是虚拟机、Docker容器还是K8s集群:
mount lgrep '/type' #从当前系统中列出所有已挂载的文件系统,并使用grep命令筛选出包含/type路径的挂载信息
查看硬盘信息
通过查看硬盘信息,推断当前环境是否为容器环境:
fdisk -l #列出系统上所有磁盘的分区信息
获取当前环境的文件系统和挂载点信息
获取当前环境的文件系统和挂载点信息,用来判断是否容器环境:
df -h #显示文件系统的磁盘使用情况和挂载点信息
通过了解环境变量包含的信息
通过检查环境变量,了解特定环境的信息:
env #显示当前系统环境中的所有环境变量
四、反制
对于防守者而言,通过了解攻击者在云原生环境中可能采取的这些信息探测行为,可以建立有效的告警机制,以便及早发现潜在的攻击行为
__EOF__
本文作者:Yuy0ung
本文链接:https://www.cnblogs.com/yuy0ung/articles/18220591.html
关于博主:评论和私信会在第一时间回复。或者直接私信我。
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力!
相关文章
赣公网安备36020002000448号