当前位置: 首页 > news >正文

Docker Remote API未授权访问漏洞复现

news 2025/7/8 6:04:34

一、漏洞信息

Docker Remote API如配置不当可导致未授权访问,被攻击者恶意利⽤。攻击者⽆需认证即可访问到Docker数据,可能导致敏感信息泄露,⿊客也可以删除 Docker上的数据,直接访问宿主机上的敏感 信息,或对敏感⽂件进⾏修改,最终完全控制服务器。

二、漏洞复现

1.使用以下fofa语句对docker产品进行搜索:

port="2375"

2.在搜索的结果网站后访问以下路径

http://ip:2375/version        #查看版本信息
http://ip:2375/info        #查看容器信息

3.可以使用-H参数连接目标主机的docker

docker -H tcp://ip:2375 ps        #查看目标主机运行的镜像
docker -H tcp://ip:2375 version        #查看目标主机的版本信息
docker -H tcp://ip:2375 info        #查看目标主机的容器信息

http://www.dtcms.com/a/23058.html

相关文章:

  • DeepSeek 助力 Vue 开发:打造丝滑的日期选择器(Date Picker),未使用第三方插件
  • 在conda虚拟环境中安装jupyter lab-----deepseek问答记录
  • lighten() 函数被弃用:替代方案color.scale()或者color.adjust()
  • C语言基础16:二维数组、字符数组
  • 《DeepSeek训练算法:开启高效学习的新大门》
  • 虚拟机如何添加硬盘
  • Java中CompletableFuture异步工具类
  • 【ENSP】链路聚合的两种模式
  • pypthon字符串与日期转换
  • 6.2.4 基本的数据模型
  • linux笔记:shell中的while、if、for语句
  • Spring 如何解决循环依赖以及那些无法解决的循环依赖
  • 【贝克街迷宫疑云:用侦探思维破解Java迷宫算法】
  • java练习(26)
  • 《open3d pyqt》Alpha重建
  • el-table使用fixed=“right“时固定多列,最左边的左边框不显示
  • C++常用数学函数详解与代码示例
  • C++ ——static关键字
  • ubuntu20.04安装nccl2.16.5
  • 物联网平台建设方案
  • 直线模组在搬运过程中需要注意什么?
  • 网络安全扫描--基础篇
  • Flowith.io 初探:DeepSeek-R1免费用,用画布式 AI 提升效率和创意
  • Deepseek部署-本地windows非系统C盘 -可视化 -4060甜品卡
  • Pikachu靶场-SSRF漏洞
  • DeepSeek视角下学术论文创新点探索干货分享!
  • 详述发票二维码与python解析技术
  • 链表和list
  • 情书网源码 情书大全帝国cms7.5模板
  • Vue 记录用户进入页面的时间、离开页面的时间并计算时长