关于whoc whoc是一款强大且实用的容器镜像工具,旨在帮助研究人员将容器的底层运行时环境提取并传输到远程服务器。借助该工具,用户能够轻松地探索自己感兴趣的CSP容器平台的底层运行时环境。
运行机制 根据漏洞CVE-2019-5736的描述,传统的Linux容器运行时环境会通过/proc/self/exe将自身运行情况暴露给容器。而whoc利用这个链接来读取并执行容器的运行时环境。
动态模式 动态模式是whoc的默认操作模式,主要适用于动态链接的容器运行时。
1、whoc镜像的入口点设置为/proc/self/exe,镜像中的动态链接器ld.so会被upload_runtime替换。
2、当镜像开始运行时,容器运行时会在容器内重新执行。
3、由于运行时环境是动态链接的,内核会加载我们伪造的动态链接器(upload_runtime)至运行时进程,并向其传递执行命令。
4、upload_runtime将通过/proc/self/exe读取运行时代码,并将其发送到配置好的远程服务器。
Wait-For-Exec模式(等待执行) 对于静态链接的容器运行环境,whoc提供了whoc:waitforexec模式来解决。
1、upload_runtime作为镜像入口点,并在whoc容器中以PID 1运行。
2、用户需要在whoc容器中执行并调用指向/proc/self/exe的文件(例如“docker exec whoc_ctr /proc/self/exe”)。
3、执行发生后,容器运行时环境会在容器内部重新执行。
4、upload_runtime通过/proc/$runtime-pid/exe读取运行时代码,并将其发送到配置好的远程服务器。
本地使用 首先,在本地设备上安装并配置好Docker和Python3环境。然后,使用以下命令将项目源码克隆到本地:
代码语言:javascript 代码运行次数:0
运行 复制 ```javascript $ git clone git@github.com:twistlock/whoc.git ```配置一个文件服务器来接收提取到的容器运行时环境:
代码语言:javascript 代码运行次数:0
运行 复制 ```javascript $ cd whoc $ mkdir -p stash && cd stash $ ln -s ../util/fileserver.py fileserver $ ./fileserver ```在另一个Shell中,切换到自己的容器环境并运行whoc镜像:
代码语言:javascript 代码运行次数:0
运行 复制 ```javascript $ cd whoc $ docker build -f Dockerfile_dynamic -t whoc:latest src # 或 ./util/build.sh $ docker run --rm -it --net=host whoc:latest 127.0.0.1 # 或 ./util/run_local.sh ```
我们可以看到,文件服务器已经接收到了容器的运行时环境。如果你在vanilla Docker中运行whoc,接收到的运行时环境应为runc。
“--net=host”参数仅适用于本地测试,使得whoc容器能够通过“127.0.0.1”轻松访问主机上的文件服务器。
帮助信息 如果需要获取whoc的主要帮助信息,可以运行以下命令:
代码语言:javascript 代码运行次数:0
运行 复制 ```javascript Usage: upload_runtime [options]项目地址
