G18-Ubuntu18.04安装Metarget云原生漏洞环境

# 介绍
Metarget通过提供一系列命令行工具，实现了对Docker、Kubernetes、操作系统内核等云原生组件的自动化安装和管理。其核心功能包括：

- 自动化安装漏洞：通过简单的命令，如metarget cnv install cve-2019-5736，即可在服务器上安装带有特定CVE漏洞的Docker。
- 多层次脆弱场景构建：支持从内核漏洞到应用层漏洞的多层次脆弱场景自动化构建，如通过metarget appv install dvwa安装DVWA靶机。

官方参考资料（绿盟科技星云实验室）：
https://github.com/Metarget/metarget/blob/master/README-zh.md

# 准备Ubuntu机器（官方文档推荐用18.04）
参考：
A31-vmware安装Ubuntu18.04
https://wiki.bafangwy.com/doc/598/

注意：
里面提供的解压版18.04系统不允许root用户直接登录，需要先用wuya用户登录以后再用`su root`切换到root。
以下操作都用`root`用户进行操作。

# 安装Python

要求版本≥ 3.7.4，这里安装python3.8

```
sudo apt-get install python3.8
echo "export PATH=/usr/bin/python3.8:/usr/local/bin:$PATH" >> ~/.bashrc
source ~/.bashrc
python3.8 --version
```

结果：
![](/media/202504/2025-04-25_162325_7873700.3856982779725566.png)

# 安装pip3
要求版本pip3

```
sudo apt install python3-pip
pip3 --version
```

结果：

![](/media/202504/2025-04-25_162420_0367100.4478746106375284.png)

# 安装Metarge
这台机器有自带git，不需要安装。
如果github网络连接有问题，可以在Windows下载以后传输到Ubuntu系统中。

```
git clone https://github.com/Metarget/metarget.git
cd metarget/
pip3 install -r requirements.txt
```

# 安装漏洞环境

使用Metarget，搭建脆弱场景。
格式：
`./metarget cnv install 场景名称`

例如：
`./metarget cnv install cve-2019-5736`

![](/media/202504/2025-04-25_162102_0158340.3420146875220982.png)

CVE-2019-5736影响版本
```
docker version <=18.09.2
RunC version <=1.0-rc6
```

确认安装结果：

![](/media/202504/2025-04-25_162841_9966770.31753148804600617.png)

# 其他漏洞

如果某个脆弱场景名称的末尾带了星号（\*），你还需要关注表格下面提供的关于此场景的其他说明。

|场景名称|涉及组件|场景类型|CVSS 3.x|Writeup|ATT&CK映射|
|:-:|:-:|:-:|:-:|:-:|:-:|
|[cve-2018-15664](vulns_cn/docker/cve-2018-15664.yaml)|docker|容器逃逸|[7.5](https://nvd.nist.gov/vuln/detail/CVE-2018-15664)||权限提升/逃逸到宿主机 持久化/逃逸到宿主机 横向移动/逃逸到宿主机 防御绕过/在主机上构建镜像|
|[cve-2019-13139](vulns_cn/docker/cve-2019-13139.yaml)|docker|命令执行|[8.4](https://nvd.nist.gov/vuln/detail/CVE-2019-13139)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/docker-cve-2019-13139)|
|[cve-2019-14271](vulns_cn/docker/cve-2019-14271.yaml)|docker|容器逃逸|[9.8](https://nvd.nist.gov/vuln/detail/CVE-2019-14271)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/docker-cve-2019-14271)|
|[cve-2020-15257](vulns_cn/docker/cve-2020-15257.yaml)|docker/containerd|容器逃逸|[5.2](https://nvd.nist.gov/vuln/detail/CVE-2020-15257)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/docker-containerd-cve-2020-15257)|权限提升/逃逸到宿主机 持久化/逃逸到宿主机 横向移动/逃逸到宿主机
|[cve-2019-5736](vulns_cn/docker/cve-2019-5736.yaml)|docker/runc|容器逃逸|[8.6](https://nvd.nist.gov/vuln/detail/CVE-2019-5736)||
|[cve-2019-16884](vulns_cn/docker/cve-2019-16884.yaml)|docker/runc|容器逃逸|[7.5](https://nvd.nist.gov/vuln/detail/CVE-2019-16884)||
|[cve-2021-30465\*](vulns_cn/docker/cve-2021-30465.yaml)|docker/runc|容器逃逸|[7.6](https://nvd.nist.gov/vuln/detail/CVE-2021-30465)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/docker-runc-cve-2021-30465)|
|[cve-2024-21626](vulns_cn/docker/cve-2024-21626.yaml)|docker/runc|容器逃逸|[8.6](https://nvd.nist.gov/vuln/detail/CVE-2024-21626)||
|[cve-2017-1002101](vulns_cn/kubernetes/cve-2017-1002101.yaml)|k8s|容器逃逸|[9.6](https://nvd.nist.gov/vuln/detail/CVE-2017-1002101)|[链接](https://github.com/brant-ruan/cloud-native-security-book/blob/main/appendix/CVE-2017-1002101：突破隔离访问宿主机文件系统.pdf)|
|[cve-2018-1002105](vulns_cn/kubernetes/cve-2018-1002105.yaml)|k8s|权限提升|[9.8](https://nvd.nist.gov/vuln/detail/CVE-2018-1002105)||权限提升/通过漏洞利用实现权限提升 获取凭证/不安全凭据 横向移动/窃取凭证
|[cve-2018-1002100](vulns_cn/kubernetes/cve-2018-1002100.yaml)|k8s/kubectl|容器逃逸|[5.5](https://nvd.nist.gov/vuln/detail/CVE-2018-1002100)||
|[cve-2019-1002101](vulns_cn/kubernetes/cve-2019-1002101.yaml)|k8s/kubectl|容器逃逸|[5.5](https://nvd.nist.gov/vuln/detail/CVE-2019-1002101)||
|[cve-2019-11246](vulns_cn/kubernetes/cve-2019-11246.yaml)|k8s/kubectl|容器逃逸|[6.5](https://nvd.nist.gov/vuln/detail/CVE-2019-11246)||
|[cve-2019-11249](vulns_cn/kubernetes/cve-2019-11249.yaml)|k8s/kubectl|容器逃逸|[6.5](https://nvd.nist.gov/vuln/detail/CVE-2019-11249)||
|[cve-2019-11251](vulns_cn/kubernetes/cve-2019-11251.yaml)|k8s/kubectl|容器逃逸|[5.7](https://nvd.nist.gov/vuln/detail/CVE-2019-11251)||
|[cve-2019-11253](vulns_cn/kubernetes/cve-2019-11253.yaml)|k8s|拒绝服务|[7.5](https://nvd.nist.gov/vuln/detail/CVE-2019-11253)||
|[cve-2019-9512](vulns_cn/kubernetes/cve-2019-9512.yaml)|k8s|拒绝服务|[7.5](https://nvd.nist.gov/vuln/detail/CVE-2019-9512)||
|[cve-2019-9514](vulns_cn/kubernetes/cve-2019-9514.yaml)|k8s|拒绝服务|[7.5](https://nvd.nist.gov/vuln/detail/CVE-2019-9514)||
|[cve-2019-9946](vulns_cn/kubernetes/cve-2019-9946.yaml)|k8s|流量劫持|[7.5](https://nvd.nist.gov/vuln/detail/CVE-2019-9946)||
|[cve-2020-8554](vulns_cn/kubernetes/cve-2020-8554.yaml)|k8s|中间人攻击|[5.0](https://nvd.nist.gov/vuln/detail/CVE-2020-8554)||
|[cve-2020-10749](vulns_cn/kubernetes/cve-2020-10749.yaml)|k8s/kubernetes-cni|中间人攻击|[6.0](https://nvd.nist.gov/vuln/detail/CVE-2020-10749)||
|[cve-2020-8555](vulns_cn/kubernetes/cve-2020-8555.yaml)|k8s|服务端请求伪造（SSRF）|[6.3](https://nvd.nist.gov/vuln/detail/CVE-2020-8555)||
|[cve-2020-8557](vulns_cn/kubernetes/cve-2020-8557.yaml)|k8s|拒绝服务|[5.5](https://nvd.nist.gov/vuln/detail/CVE-2020-8557)||
|[cve-2020-8558](vulns_cn/kubernetes/cve-2020-8558.yaml)|k8s|服务暴露|[8.8](https://nvd.nist.gov/vuln/detail/CVE-2020-8558)||
|[cve-2020-8559](vulns_cn/kubernetes/cve-2020-8559.yaml)|k8s|权限提升|[6.8](https://nvd.nist.gov/vuln/detail/CVE-2020-8559)||
|[cve-2021-25741](vulns_cn/kubernetes/cve-2021-25741.yaml)|k8s|容器逃逸|[8.1](https://nvd.nist.gov/vuln/detail/CVE-2021-25741)||
|[cve-2022-0811](vulns_cn/kubernetes/cve-2022-0811.yaml)|k8s|容器逃逸|[8.8](https://nvd.nist.gov/vuln/detail/CVE-2022-0811)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/kubernetes-cve-2022-0811)|
|[cve-2016-5195](vulns_cn/kernel/cve-2016-5195.yaml)|kernel|容器逃逸|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2016-5195)||
|[cve-2016-8655](vulns_cn/kernel/cve-2016-8655.yaml)|kernel|权限提升|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2016-8655)||
|[cve-2017-6074](vulns_cn/kernel/cve-2017-6074.yaml)|kernel|权限提升|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2017-6074)||
|[cve-2017-7308](vulns_cn/kernel/cve-2017-7308.yaml)|kernel|容器逃逸|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2017-7308)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/kernel-cve-2017-7308)|
|[cve-2017-16995](vulns_cn/kernel/cve-2017-16995.yaml)|kernel|权限提升|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2017-16995)||
|[cve-2017-1000112](vulns_cn/kernel/cve-2017-1000112.yaml)|kernel|容器逃逸|[7.0](https://nvd.nist.gov/vuln/detail/CVE-2017-1000112)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/kernel-cve-2017-1000112)|
|[cve-2018-18955](vulns_cn/kernel/cve-2018-18955.yaml)|kernel|权限提升|[7.0](https://nvd.nist.gov/vuln/detail/CVE-2018-18955)||
|[cve-2020-14386](vulns_cn/kernel/cve-2020-14386.yaml)|kernel|容器逃逸|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2020-14386)||
|[cve-2021-3493](vulns_cn/kernel/cve-2021-3493.yaml)|kernel|权限提升|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2021-3493)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/kernel-cve-2021-3493)|
|[cve-2021-4204](vulns_cn/kernel/cve-2021-4204.yaml)|kernel|权限提升|[-](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4204)||
|[cve-2021-22555](vulns_cn/kernel/cve-2021-22555.yaml)|kernel|容器逃逸|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2021-22555)||
|[cve-2022-0185](vulns_cn/kernel/cve-2022-0185.yaml)|kernel|容器逃逸|[8.4](https://nvd.nist.gov/vuln/detail/CVE-2022-0185)||
|[cve-2022-0492](vulns_cn/kernel/cve-2022-0492.yaml)|kernel|容器逃逸|[7.8](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0492)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/kernel-cve-2022-0492)|
|[cve-2022-0847](vulns_cn/kernel/cve-2022-0847.yaml)|kernel|容器逃逸|[7.8](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0847)|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/kernel-cve-2022-0847)|权限提升/通过漏洞利用实现权限提升 防御绕过/清除入侵痕迹
|[cve-2022-0995\*](vulns_cn/kernel/cve-2022-0995.yaml)|kernel|权限提升|[7.1](https://nvd.nist.gov/vuln/detail/CVE-2022-0995)||[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/kernel-cve-2022-0995)
|[cve-2022-25636\*](vulns_cn/kernel/cve-2022-25636.yaml)|kernel|权限提升|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2022-25636)||
|[cve-2022-23222](vulns_cn/kernel/cve-2022-23222.yaml)|kernel|权限提升|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2022-23222)||
|[cve-2022-27666\*](vulns_cn/kernel/cve-2022-27666.yaml)|kernel|权限提升|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2022-27666)||
|[cve-2023-3269\*](vulns_cn/kernel/cve-2023-3269.yaml)|kernel|权限提升|[7.8](https://nvd.nist.gov/vuln/detail/CVE-2023-3269)||
|[kata-escape-2020](vulns_cn/kata-containers/kata-escape-2020.yaml)|kata-containers|容器逃逸|[6.3](https://nvd.nist.gov/vuln/detail/CVE-2020-2023)/[8.8](https://nvd.nist.gov/vuln/detail/CVE-2020-2025)/[8.8](https://nvd.nist.gov/vuln/detail/CVE-2020-2026)||
|[cve-2020-27151](vulns_cn/kata-containers/cve-2020-27151.yaml)|kata-containers|容器逃逸|[8.8](https://nvd.nist.gov/vuln/detail/CVE-2020-27151)||
|[cap_dac_read_search-container](vulns_cn/configs/cap_dac_read_search-container.yaml)|危险配置|容器逃逸|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/config-cap_dac_read_search-container)|
|[cap_sys_admin-container](vulns_cn/configs/cap_sys_admin-container.yaml)|危险配置|容器逃逸|-||
|[cap_sys_ptrace-container](vulns_cn/configs/cap_sys_ptrace-container.yaml)|危险配置|容器逃逸|-||
|[cap_sys_module-container](vulns_cn/configs/cap_sys_module-container.yaml)|危险配置|容器逃逸|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/config-cap_sys_module-container)|
|[privileged-container](vulns_cn/configs/privileged-container.yaml)|危险配置|容器逃逸|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/config-privileged-container)|
|[k8s_backdoor_daemonset](vulns_cn/configs/k8s_backdoor_daemonset.yaml)|危险配置|持久化|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/config-k8s-backdoor-daemonset)|执行/部署容器 持久化/部署后门容器 防御绕过/部署容器 防御绕过/损害防御
|[k8s_backdoor_cronjob](vulns_cn/configs/k8s_backdoor_cronjob.yaml)|危险配置|持久化|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/config-k8s-backdoor-cronjob)|执行/计划任务作业 持久化/计划任务（容器编排任务）
|[k8s_shadow_apiserver](vulns_cn/configs/k8s_shadow_apiserver.yaml)|危险配置|持久化|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/config-k8s-shadow_apiserver)|防御绕过/创建shadow api server 防御绕过/伪装
|[k8s_node_proxy](vulns_cn/configs/k8s_node_proxy.yaml)|危险配置|权限提升|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/config-k8s-node-proxy)|
|[mount-docker-sock](vulns_cn/mounts/mount-docker-sock.yaml)|危险挂载|容器逃逸|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/mount-docker-sock)|
|[mount-host-etc](vulns_cn/mounts/mount-host-etc.yaml)|危险挂载|容器逃逸|-||
|[mount-host-procfs](vulns_cn/mounts/mount-host-procfs.yaml)|危险挂载|容器逃逸|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/mount-host-procfs)|
|[mount-var-log](vulns_cn/mounts/mount-var-log.yaml)|危险挂载|容器逃逸|-|[链接](https://github.com/Metarget/metarget/tree/master/writeups_cnv/mount-var-log)|权限提升/逃逸到宿主机 持久化/逃逸到宿主机 横向移动/逃逸到宿主机

注意：

- 建议在执行命令时加上`--verbose`参数，方便调试。
- 关于内核漏洞类型的说明：大家可能会发现有的内核漏洞标注的类型是`权限提升`，有的则是`容器逃逸`。本质上来说，这两者的区别主要在于攻击载荷（获得一个高权限shell还是先逃逸）。
    - 另外，由于容器默认有一些安全机制（如Seccomp、Capabilities限制），一些内核漏洞可能较难或无法在默认配置下的容器中成功利用。
    - 因此，我们将基于Metarget验证过能够用于容器逃逸的内核漏洞标记为容器逃逸类型，其他的暂时标记为权限提升类型，后续如果利用该漏洞逃逸成功，则更新为容器逃逸类型。
- 对于**cve-2021-30465**来说，在`cnv install cve-2021-30465`（安装了Docker）之后，
    - 你需要手动安装一个K8s（利用Metarget执行`cnv install cve-2018-1002105`或`gadget install k8s --version 1.16.5`），从而实现漏洞利用。
- 对于以下内核漏洞，需要在Ubuntu 21.10上运行Metarget（测试成功）：
    - cve-2022-0995
    - cve-2022-25636
    - cve-2022-27666