关于GorsairAPI。一旦它可以访问目标Docker守护进程,Gorsair就可以用于直接在远程容器上执行命令。向外界暴露或暴露DockerAPI是出了名的危险,因为它允许恶意代理获取有关所有其他容器、图像和系统的信息。如果图像使用root用户,它还可能允许攻击者获得对整个系统的高级访问权限。工具安装(1)Release版本安装首先我们需要设置要安装的Gorsairrelease版本的“GORSAIR_VERSION”版本号信息。接下来设置操作系统(linux、windows或darwin)对应的“OS”操作系统信息。分组后,设置对应的系统架构“ARCH”(amd64、arm或ppc64le)。配置完以上内容后,我们可以运行如下命令安装Gorsair:curl-sShttps://github.com/Ullaakut/Gorsair/releases/download/$GORSAIR_VERSION/gorsair_$OS_$ARCH--output/usr/local/bin/gorsair&&chmod+x/usr/local/bin/gorsair(2)从代码源安装首先确保你已经安装了支持所有工具模块的Go版本(v1.11及以上)。其次,确保“GO111MODULE”变量已经在系统环境变量中设置为“on”。接下来使用如下命令将项目源码clone到本地,在项目根目录运行build语句:gitclonehttps://github.com/Ullaakut/Gorsair.gitgobuild-o/usr/local/bin/gorsaircmd/*.go命令行参数-t,--targets:根据nmap目标格式设置目标,例如:--targets="192.168.1.72,192.168.1.74";-p,--ports:(default:2375,2376)设置自定义端口;-s,--speed:(默认值:4)设置自定义nmap查找预设以提高速度或准确性。如果您尝试扫描不稳定和缓慢的网络,建议降低该值;如果在一个非常好的和可靠的网络上,建议增加这个值;-D,--decoys:要使用的诱饵IP地址列表-e,--interface:要使用的网络接口--proxies:要使用的HTTP/SOCKS4代理列表-S,--spoof-ip:the用于IP地址欺骗的IP地址;--spoof-mac:MAC地址欺骗使用的MAC地址;-v,--verbose:启用详细日志模式;-h,--help:显示工具使用信息;工具使用演示了如何保护自己的容器免受此类攻击,避免访问Dockersocketssocket容器暴露在外部网络中。避免在Docker容器中使用root帐户。项目地址Gorsair:[GitHub传送门]
