CDK项目中containerd-shim问题利用失败问题分析

问题背景

在安全研究过程中，研究人员发现CDK工具(v1.5.4)中的containerd-shim问题利用模块在执行时会出现连接失败的问题。具体表现为当尝试通过shim-pwn模块建立反向shell连接时，工具无法连接到目标Unix域套接字，返回"connection refused"错误。

问题现象

执行命令后，工具尝试连接到containerd-shim的Unix域套接字路径：

@/containerd-shim/moby/3925849af0bf88543b55ca09923c29636e69716b2cbd309721ad83baa9299eac/shim.sock

但连接失败，错误信息显示：

dial unix /containerd-shim/moby/3925849af0bf88543b55ca09923c29636e69716b2cbd309721ad83baa9299eac/shim.sock: connect: connection refused

技术分析

经过深入分析，发现问题根源在于路径处理逻辑存在不足。原始代码中使用了以下处理方式：

absPath := GetDockerAbsPath()
absPath = strings.TrimSuffix(absPath, "/merged")
dockerAbsPath := filepath.Join(absPath, "merged", localBundlePath)

这种处理方式可能导致路径拼接不正确，特别是在不同环境或不同Docker配置下。改进后的处理方式更直接且可靠：

dockerAbsPath := GetDockerAbsPath() + "/merged" + localBundlePath

解决方案

该问题已在后续版本中修复，主要改进包括：

1. 简化路径拼接逻辑，避免不必要的字符串处理
2. 增加日志输出，便于问题诊断
3. 优化错误处理机制

安全建议

对于使用CDK工具进行安全测试的研究人员，建议：

1. 确保使用最新版本的CDK工具
2. 在执行问题利用前，先验证目标环境是否存在问题
3. 关注工具日志输出，及时发现问题
4. 在测试环境中先验证问题利用的有效性

总结

容器安全是云安全的重要组成部分，containerd-shim问题(CVE-2020-15257)是一个重要的容器逃逸问题。CDK工具作为容器环境下的渗透测试工具，其问题利用模块的稳定性直接影响安全评估的效果。通过修复路径处理问题，提高了工具在真实环境中的可靠性，为安全研究人员提供了更准确的测试结果。