【网络安全】一次逆向容器镜像的过程

环境准备

  • 安装Docker
curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun
  • 安装DIVE
wget https://github.com/wagoodman/dive/releases/download/v0.9.2/dive_0.9.2_linux_amd64.deb
sudo apt install ./dive_0.9.2_linux_amd64.deb

镜像分析

选择要分析的镜像为ubuntu的官方镜像,首先导出镜像,保存为ubuntu.tar

sudo docker pull ubuntu
sudo docker save -o ubuntu.tar ubuntu

为了方便分析,这里将ubuntu.tar在windows上面解压,可以发现ubuntu镜像一共

image.png

首先查看manifest.json的内容,可以看出该文件一共包含了三个字段,Config、RepoTages和Layers。

  • Config 的值为镜像配置文件的json文件,对应825d55fb6340083b06e69e02e823a02918f3ffb575ed2a87026d4645a7fd9e1b.json;
  • RepoTages <typo id="typo-570" data-origin="为" ignoretag="true">为</typo>镜像的名称和标签;
  • Layers 包含了镜像的有哪些层,每一个元素代表一个层目录,由此可见ubuntu只含有一个层,对应8f7ee37aa1d53dcded9b5c22b0a57d8bb8d35d9f42273651668e7aca23bd7581/layer.tar。
[
    {
        "Config": "825d55fb6340083b06e69e02e823a02918f3ffb575ed2a87026d4645a7fd9e1b.json",
        "RepoTags": [
            "ubuntu:latest"
        ],
        "Layers": [
            "8f7ee37aa1d53dcded9b5c22b0a57d8bb8d35d9f42273651668e7aca23bd7581/layer.tar"
        ]
    }
]

接着查看825d55fb6340083b06e69e02e823a02918f3ffb575ed2a87026d4645a7fd9e1b.json的内容,该文件记录了镜像的关键信息,该链接简述了每一个字段的意义,如config包含了镜像生成容器时基础的执行参数,Cmd为容器入口点的默认参数 等。

【相关技术文档】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

我们主要关注的是 history 列表,它列出了镜像中的每一层,Docker 镜像由这些层堆叠而成。Dockerfile <typo id="typo-1320" data-origin="中" ignoretag="true">中</typo>几乎每条命令都会变成一个层,描述该命令对镜像所做的更改。

在ubuntu镜像中,可以看到history列表实际上有两层, 但是其中一层的empty_layer 标记为 true,这代表着本次操作不改变文件系统镜像,不额外生成新的层,所以ubuntu镜像实际上只有一层。

{
    "architecture": "amd64",
    "config": {
        "Hostname": "",
        "Domainname": "",
        "User": "",
        "AttachStdin": false,
        "AttachStdout": false,
        "AttachStderr": false,
        "Tty": false,
        "OpenStdin": false,
        "StdinOnce": false,
        "Env": [
            "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
        ],
        "Cmd": [
            "bash"
        ],
        "Image": "sha256:ccb5a0910a0c4d62d88fd6aec23d035803c808719cc5ce148878f352b1a2a540",
        "Volumes": null,
        "WorkingDir": "",
        "Entrypoint": null,
        "OnBuild": null,
        "Labels": null
    },
    "container": "3f151de249ccf525ce2ef3806956fd20f3d4c46ab831529056dde22d50146d4b",
    "container_config": {
        "Hostname": "3f151de249cc",
        "Domainname": "",
        "User": "",
        "AttachStdin": false,
        "AttachStdout": false,
        "AttachStderr": false,
        "Tty": false,
        "OpenStdin": false,
        "StdinOnce": false,
        "Env": [
            "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
        ],
        "Cmd": [
            "/bin/sh",
            "-c",
            "#(nop) ",
            "CMD [\"bash\"]"
        ],
        "Image": "sha256:ccb5a0910a0c4d62d88fd6aec23d035803c808719cc5ce148878f352b1a2a540",
        "Volumes": null,
        "WorkingDir": "",
        "Entrypoint": null,
        "OnBuild": null,
        "Labels": {}
    },
    "created": "2022-04-05T22:20:51.04675426Z",
    "docker_version": "20.10.12",
    "history": [
        {
            "created": "2022-04-05T22:20:50.696744314Z",
            "created_by": "/bin/sh -c #(nop) ADD file:b83df51ab7caf8a4dc35f730f5a18a59403300c59eecae4cf5779cba0f6fda6e in / "
        },
        {
            "created": "2022-04-05T22:20:51.04675426Z",
            "created_by": "/bin/sh -c #(nop)  CMD [\"bash\"]",
            "empty_layer": true
        }
    ],
    "os": "linux",
    "rootfs": {
        "type": "layers",
        "diff_ids": [
            "sha256:c5ec52c98b3193052e15d783aca2bef10d8d829fa0d58fedfede511920b8f997"
        ]
    }
}

在docker中使用docker inspect 和docker history 命令也能查看镜像或容器的相关信息,该信息与<typo id="typo-3671" data-origin="上诉" ignoretag="true">上诉</typo>是一一对应的。

image.png

docker history ubuntu 命令对应上诉 825d55fb6340083b06e69e02e823a02918f3ffb575ed2a87026d4645a7fd9e1b.json 的history字段。

root@ubuntu:/home/null# docker history ubuntu
IMAGE          CREATED       CREATED BY                                      SIZE      COMMENT
825d55fb6340   2 weeks ago   /bin/sh -c #(nop)  CMD ["bash"]                 0B
<missing>      2 weeks ago   /bin/sh -c #(nop) ADD file:b83df51ab7caf8a4d…   72.8MB

接下来打开8f7ee37aa1d53dcded9b5c22b0a57d8bb8d35d9f42273651668e7aca23bd7581文件夹,该文件夹包含三个文件。

VERSION
json
layer.tar

其中VERSION代表ubuntu的版本,值为1.0;json文件的很多内容是与上面是重合的。镜像的核心内容在layer.tar里,将该文件解压,可以发现该文件夹的内容就是对应linux文件系统。 在ubuntu的镜像中,大部分文件存在于usr/bin目录,对应了ubuntu系统的 一些常见的命令,如ls、apt-get等。

image.png

使用DIVE能够更好的查看镜像每一层的内容,和各层比上一层做出的改变,下图为dive分析ubuntu的界面。DIVE主要具有以下主要功能:

  • 屏幕左上角提供镜像层列表以及<typo id="typo-4463" data-origin="与" ignoretag="true">与</typo>每个镜像层的大小。
  • 提供有关镜像的效率(百分比值)、潜在浪费的空间以及镜像的总大小的一般统计信息。
  • 对于每个选定的镜像层,右边会显示出该层对应的文件系统视图,其中包含每个文件夹大小的数据。
image.png

DIVE使用的一些快捷键:

  • Ctrl+Spacebar - 左右面板切换
  • Spacebar - 打开/关闭目录树,
  • Ctrl+A - 显示/<typo id="typo-4638" data-origin="关闭" ignoretag="true">关闭</typo>添加的文件,
  • Ctrl+R - 显示/<typo id="typo-4660" data-origin="关闭" ignoretag="true">关闭</typo>移除的文件,
  • Ctrl+M - 显示/关闭修改的文件,
  • Ctrl+U - 显示/关闭未修改的文件,
  • Ctrl+ L - 显示镜像层变动,
  • Ctrl+/ - 过滤文件,
  • Ctrl+C - 退出.

由于ubuntu镜像只有一层,所以看不出层与层之间内容的变化,所以这里启动ubuntu容器,并像容器中写入一些内容来观察在容器中进行操作对于容器镜像的改变。

root@ubuntu:/home/null# docker run -it --name ubuntu_test ubuntu
root@871b5aa0e0c5:/# echo hello > hello.txt
root@871b5aa0e0c5:/# echo world > world.txt
root@871b5aa0e0c5:/# exit
exit

接着将容器打包成镜像并导出,以便进一步分析

docker commit ubuntu_test ubuntu_test
docker save -o ubuntu_test.tar ubuntu_test

将ubuntu_test.tar解压,发现相比于原来的ubuntu.tar解压后的文件,多了一个文件夹,也就意味着多了一层。

查看manifest.json查看变化,发现Layers中也已经多了一层"804da1860ebbda2e61e48e68b0fd1c7f2ddebfcfbc18dbb5c865d2b76d01cc29/layer.tar"

查看05feb719705701fda9a39795e16f245df59db1c26261112f88d81131511e6111.json文件的history字段,同样的多出了一层: created表示创建的时间,created_by表示创建的命令。

"history": [
        {
            "created": "2022-04-05T22:20:50.696744314Z",
            "created_by": "/bin/sh -c #(nop) ADD file:b83df51ab7caf8a4dc35f730f5a18a59403300c59eecae4cf5779cba0f6fda6e in / "
        },
        {
            "created": "2022-04-05T22:20:51.04675426Z",
            "created_by": "/bin/sh -c #(nop)  CMD [\"bash\"]",
            "empty_layer": true
        },
        {
            "created": "2022-04-22T02:20:20.681237703Z",
            "created_by": "bash"
        }
    ],

打开新文件夹,解压layer.tar里面的内容便为我们对容器的操作添加更改的内容,一共更改了三处,其中hello.txt和world.txt是我们手动添加的文件,root文件夹下的.bash_history是记录执行过命令。

image.png
sudo dive ubuntu_test

tap键可以切换左右视图,上下键进行切换条目,在右边可以很明显<typo id="typo-6119" data-origin="的" ignoretag="true">的</typo>表示第二层相比于第一层改变的地方,黄色表示改变的目录,绿色代表改变的文件,刚好对应新生成文件夹的内容。

image.png

其他工具

下面介绍一些对容器镜像进行分析的网站或工具

  1. contains,一个支持在线分析容器镜像的网站。
  2. trivy,镜像扫描工具,可以检测镜像、文件系统、git存储库的漏洞以及配置问题
  3. Clair,静态分析容器镜像中的漏洞
  4. Anchore,用于深度分析docker镜像,扫描容器镜像和文件系统中的漏洞。
  5. Dagda,用于对 docker 镜像和容器中的木马、恶意软件、病毒等已知漏洞进行静态分析。
  6. Aqua Security,保护使用容器等云原生技术构建的应用程序。
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 196,583评论 5 462
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 82,669评论 2 374
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 143,684评论 0 325
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,682评论 1 267
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,533评论 5 358
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,396评论 1 275
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,814评论 3 387
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,458评论 0 255
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,745评论 1 294
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,789评论 2 314
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,565评论 1 326
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,410评论 3 315
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,828评论 3 300
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,050评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,342评论 1 253
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 41,793评论 2 342
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 41,010评论 2 337

推荐阅读更多精彩内容