100种容器攻击方法 (2).pdfVIP

100种容器攻击⽅法

不安全的容器镜像

1.使⽤琐事：

trivy-q-fjsoncontainer_name:tag|jq.[]|select(.Vulnerabilities

1

!null)

此命令使⽤Trivy（容器漏洞扫描器）来扫描特定容器映像(container_name:tag)是

否存在漏洞。该-q标志抑制输出，并且该-fjson标志将输出格式化为JSON。然后，该命令

⽤于jq过滤结果并仅显示发现的漏洞。

1.使⽤克莱尔扫描仪：

1clair-scanner--ipcontainer_ip--reportreport_output_file

此命令利⽤Clair-scanner（⼀种与Clair漏洞数据库集成的⼯具）来扫描正在运⾏的容器

()并⽣成包含所发现漏洞的container_ip报告()。report_output_file

1.使⽤kube-hunter：

1kube-hunter--remotecluster_address|grep-B5Critical:

此命令使⽤kube-hunter（⼀种Kubernetes渗透测试⼯具）来扫描远程Kubernetes集

群(cluster_address)是否存在安全漏洞。然后将输出通过管道传输以grep过滤并仅显

示发现的关键漏洞。

来⾃Aqua的恶意图⽚

docker-⽹络-桥-

ipv6:0.0.2

docker-⽹络-桥-

ipv6:0.0.1

docker-⽹络-ipv6:0.0.12

ubuntu：最新

ubuntu：最新

ubuntu：18.04

busybox：最新

⾼⼭：最新

⾼⼭弯举

xmrig：最新

⾼⼭：3.13

码头：最新

⻰卷⻛rangepwn：最新

贾加诺德：最新

雷迪斯：最新的

gin：最新（在主机上构建）

码头登：最新

fcminer：最新

Debian：最新

博格：最新

停靠：latestk8s.gcr.io/pause：0.8

码头登：最新

第⼆阶段：最新

dockerlan：最新

⻙伦：最新

basicxmr：最新

simpledockerxmr：最新

wscopescan：最新

⼩：最新

应⽤程序：最新

⻔罗币矿⼯：最新

乌努布：最新

vbuntu：最新

群代理：最新

范围：1.13.2

阿帕奇：最新

⽊村：1.0

xmrig：最新

sandeep078：最新

tntbbo:最新

库本2

其他图⽚

官⽅图⽚

乌图图

Cent0S

阿尔卑斯⼭

蟒蛇

特权容器

1.使⽤kube分数：

kube-scorescorecluster_address--filter-allowed-privilege-

1

escalationfalse|grepPrivileged:

此命令利⽤kube-score（⼀个Kubernetes安全配置扫描器）对Kubernetes集群(

cluster_address)进⾏评分并过滤掉允许权限升级的容器。然后对输出进⾏过滤，grep

仅显示标记为“特权”的容器。

1.使⽤kubectl和jq：

kubectlgetpods--all-namespaces-ojson