Wir haben die Lösung des Docker VulnHub-Labors behandelt, wo wir einen Penetrationstest für einen Docker-Container durchgeführt haben, auf dem eine WordPress-Website läuft.
Befehlsinjektion
Docker-Container werden zu Virtualisierungszwecken verwendet, um Geschwindigkeit, Flexibilität und Sicherheit zu gewährleisten. Sie ähneln virtuellen Maschinen, da sie separat ausgeführt werden, mit der Ausnahme, dass Docker zusätzlich zu denselben RAM- und CPU-Ressourcen denselben Kernel des Hauptbetriebssystems verwenden.
Per Definition handelt es sich dabei um den Vorgang, eine Anwendung und die erforderlichen Ressourcen (wie Bibliotheken und Pakete) in einem Paket namens „Container“ zu packen, um sie portierbar zu machen und schneller auszuführen.
Docker sieht ähnlich aus wie virtuelle Maschinen, aber der Unterschied besteht darin, dass es durch Virtualisierung des Betriebssystems direkt auf dem Kernel des Hosts und nicht auf der Hardware ausgeführt wird. Der Docker-Dienst wird auf dem Host selbst ausgeführt und Container laufen darauf.
Virtuelle Maschinen gelten als sicherer, da sie stärker isoliert sind und über ein eigenes Betriebssystem verfügen.Umfeld
Diese Anweisung wird verwendet, um Umgebungsvariablen wie Passwörter, Benutzernamen usw. zu übergeben.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Komplettlösung | Teil 1