2.7 KiB
Weaponizing Distroless
{{#include ../../../banners/hacktricks-training.md}}
Що таке Distroless
Контейнер distroless - це тип контейнера, який містить лише необхідні залежності для запуску конкретного застосунку, без будь-якого додаткового програмного забезпечення або інструментів, які не є необхідними. Ці контейнери розроблені, щоб бути легкими та безпечними наскільки це можливо, і вони прагнуть мінімізувати поверхню атаки, видаляючи будь-які непотрібні компоненти.
Контейнери distroless часто використовуються в виробничих середовищах, де безпека та надійність є найважливішими.
Деякі приклади контейнерів distroless:
- Надано Google: https://console.cloud.google.com/gcr/images/distroless/GLOBAL
- Надано Chainguard: https://github.com/chainguard-images/images/tree/main/images
Weaponizing Distroless
Мета озброєння контейнера distroless полягає в тому, щоб мати можливість виконувати довільні бінарні файли та корисні навантаження, навіть з обмеженнями, які накладає distroless (відсутність загальних бінарних файлів у системі), а також захистами, які зазвичай зустрічаються в контейнерах, такими як тільки для читання або без виконання в /dev/shm.
Через пам'ять
Приблизно в якийсь момент 2023 року...
Через існуючі бінарні файли
openssl
****У цьому пості, пояснюється, що бінарний файл openssl часто зустрічається в цих контейнерах, можливо, тому що він потрібен програмному забезпеченню, яке буде працювати всередині контейнера.
{{#include ../../../banners/hacktricks-training.md}}