导出exp镜像
docker save exp:v1 -o exp.bin
安装binwalk
apt install binwalk
提取镜像查看文件binwalk -e -M exp.bin
最后解析成如下:
类似于哈希的部分如下有三块
docker 基于overlayfs的文件系统,新的文件在最顶部
查看最顶部文件
可以看到类似于是一个文件根目录系统
可以通过以下几条命令查看初始化命令,工作目录等
在上一层overlay目录中找到sh
参考:https://sysdig.com/blog/triaging-malicious-docker-container/
