Cheatsheet
  • Introducción
    • 👾Ethical Hacking Cheatsheet
      • 📕Metodología OSSTMM
      • 📘MITRE ATT&CK
      • 🔢Proceso de Pentesting
      • 💻Instalación del entorno
        • 💻Instalación de VMWare
        • 💻Virtualizar Kali Linux
        • 🎨Personalización del entorno
        • 🕷️Máquinas Vulnerables
          • 💣Metasploitable 3
          • 🖖VPLE
      • 📔Organización y Notas
      • 👜Documentos básicos
      • 📊Informes de hacking ético
  • Sistemas básicos
    • 🐧Linux
    • 🪟Windows
    • 🔓Puertos y comprobaciones
    • Modos de Red
  • Recopilación de información
    • 🌐Google Hacking
      • 🌐Google Dorks
    • 💻Enumeración
      • 💻Metodología
      • 💻FTP
      • 💻SMB
      • 💻NFS
      • 💻DNS
      • 💻SMTP
      • 💻IMAP/POP3
      • 💻SNMP
      • 💻MySQL
      • 💻MSSQL
      • 💻Oracle TNS
      • 💻IPMI
      • 💻Protocolos de Administración Remota - Linux
      • 💻Protocolos de Administración Remota - Windows
      • 💻Footprinting Lab - Easy
      • 💻Footprinting Lab - Medium
      • 💻Footprinting Lab - Hard
    • 🔎Recopilación de información
      • 🔎Recopilación Pasiva
        • 🔎Subdominios - Pasiva
        • 🔎Identificar Tecnologías
        • 🔎Infraestructura - Pasiva
        • 🔎Fingerprinting
        • 🦭FOCA
        • 🧠OSINT
      • 💻Recopilación Activa
        • 💻Reconocimiento automatizado
        • 💻Nmap
        • 💻Nmap Scripting Engine
        • 💻Subdominios - Activa
        • 💻Infraestructura - Activa
        • 💻Virtual Hosts
        • 💻Evasión de IDS
        • 💻Escaneo Avanzado
        • 💻Lab - Recopilación
    • 🕸️Fuzzing
      • 🕸️Crawling
        • 🕸️Scrapy y ReconSpider
        • 🕸️Herramientas de Crawling
      • 🕸️Gobuster
      • 🕸️Ffuf
    • ☁️Hacking en CMS
    • 🍏Hacking en MacOS
  • Análisis de vulnerabilidades
    • 👾Análisis con Nmap
    • 👽Herramientas de Análisis
      • ⚙️Nessus
      • ⚙️OpenVAS
  • Explotación de vulnerabilidades
    • 💣Explotación en Hosts
      • 🔥Acceso básico
      • 🐚Shells y Payloads
        • 🐚Bind Shells
        • 🐚Reverse Shells
        • 🐚Payloads
        • 💣Metasploit Payloads
        • 🐚TTY Shells
        • 🐚Webshells
          • 🐚Laudanum
          • 🐚PHP Webshell
        • 💣Lab de explotación
      • 🔎Buscador de exploits
      • 🔑Password Attacks
        • 🔑Cracking de Contraseñas
        • 🔑Bruteforce de Servicios
        • 🔑Password Mutations
        • 🔑Contraseñas por defecto
        • 🔑Windows Attacks
          • 🔑Atacando a SAM
          • 🔑Atacando a LSASS
          • 🔑Atacando Active Directory
          • 🔑Credential Hunting - Windows
        • 🔑Linux Attacks
          • 🔑Credential Hunting - Linux
          • 🔑Passwd, Shadow y Opasswd
        • 🔑Archivos Protegidos
        • 🔑Archivos Comprimidos
        • 🔑Políticas de Contraseñas
        • 🔑Administradores de Contraseñas
        • 🔑Labs de contraseñas
          • 🔑Lab de contraseñas - Easy
          • 🔑Lab de contraseñas - Medium
          • 🔑Lab de contraseñas - Hard
      • 👾Atacando Servicios Comunes
        • 👾Ataques a FTP
        • 👾Ataques a SMB
        • 👾Ataques a Bases de Datos
        • 👾Ataques a RDP
        • 👾Ataques a DNS
        • 👾Ataques a Emails
        • 👾Labs - Common Services
          • 👾Lab - Easy
          • 👾Lab - Medium
          • 👾Lab - Hard
      • 🔁Pivoting, Tunelling y Port Forwarding
        • 🔁Redes en Pivoting
        • 🔁Port Forwarding
        • 🔁Remote/Reverse Port Forwarding con SSH
        • 🔁Meterpreter Tunneling & Port Forwarding
        • 🔁Pivoting con Socat
        • 🔁SSH para Windows: plink.exe
        • 🔁Pivoting SSH con Sshuttle
        • 🔁Web Server Pivoting con Rpivot
        • 🔁Port Forwarding con Windows Netsh
        • 🔁Túnel DNS con Dnscat2
        • 🔁SOCKS5 Tunneling con Chisel
        • 🔁ICMP Tunneling con SOCKS
        • 🔁RDP y SOCKS Tunneling con SocksOverRDP
        • 🔁Pivoting: Skills Assessment
        • 🔁Port Forwarding dinámico
      • 🧨MetaSploit
      • 💊MsfVenom
      • 🐍Hydra
      • ❌BruteX
      • 🔄File Transfers
      • 💿Buffer Overflow en Linux
    • 💣Explotación en Web
      • 💡Web Proxies
        • 💡Configuración
        • 💡Interceptando solicitudes
        • 💡Interceptar respuestas
        • 💡Modificación automática
        • 💡Solicitudes repetidas
        • 💡Encoding / Decoding
        • 💡Herramientas de Proxy
        • 💡Burp Intruder
        • 💡Zap Fuzzer
        • 💡Burp Scanner
        • 💡Zap Scanner
        • 💡Extensiones
        • 💡Proxy: Skills Assestment
      • 💉SQL Injection
      • 💉SQLMap
        • 💉Introducción a SQLMap
        • 💉SQLMap - HTTP Request
        • 💉SQLMap - Manejo de errores
        • 💉SQLMap - Ajuste del ataque
        • 💉SQLMap - Enumeración Básica
        • 💉SQLMap - Enumeración Avanzada
        • 💉SQLMap - Bypass de protección web
        • 💉SQLMap - Explotación de S.O.
        • 💉SQLMap - Skills Assessment
      • 💉Command Injection
      • 💿Cross Site Scripting (XSS)
        • 💿XSS Stored
        • 💿XSS Reflected
        • 💿XSS DOM-Based
        • 💿XSS Discovery
        • 💿XSS Payloads
        • 💿Defacing con XSS
        • 💿Phising con XSS
        • 💿Session Hijacking
        • 💿Prevención de XSS
        • 💿XSS - Skills Assessment
      • ⬆️File Uploads
        • ⬆️Ausencia de validación
        • ⬆️Explotación de subida
        • ⬆️Client-Side Validation
        • ⬆️Filtros de Blacklist
        • ⬆️Filtros de Whitelist
        • ⬆️Filtros de tipo
        • ⬆️Cargas de archivos limitadas
        • ⬆️Otros ataques de carga
        • ⬆️Prevención en carga de archivos
        • ⬆️File Uploads - Skills Assessment
      • 💣DDoS Attack
      • 📁Local File Inclusion
      • 👨‍🍳Cyberchef
    • 💣Explotación en Redes
      • 😎Man in the middle
      • 🎣Phising
      • 🤼Ingeniería Social
      • 🔐Bruteforce a RRSS
      • 🌐Hacking WiFi
        • 🌐Conceptos básicos
        • 🌐Redes Básicas
        • 🌐Sniffing
        • 🌐Deauth
        • 🌐Redes ocultas
        • 🌐WEP Cracking
          • 🌐Ataque a WEP
          • 🌐Fake Autentication
          • 🌐Packet Injection
            • 🌐ARP Request Replay
            • 🌐Chop Chop
            • 🌐Fragmentation
          • 🌐Redes SKA
        • 🌐WPS Cracking
        • 🌐WPA/WPA2 Cracking
        • 🌐Rainbow Table
        • 🌐WPA/WPA2 Enterprise
    • 📕Diccionarios Custom
      • 📕Crunch
      • 📕CeWL
      • 📕Cupp
      • 📕DyMerge
  • Post Explotación
    • 💻Post Explotación
      • 👾Meterpreter
      • 🐈Mimikatz
      • 🔐LaZagne
      • 📩Procdump y lsass.exe
      • ↔️Movimientos Laterales
        • ↔️Pass the Hash (PtH)
        • ↔️Pass the Ticket (PtT) - Windows
        • ↔️Pass the Ticket (PtT) - Linux
      • 🚪Backdoor en binarios
      • 🦅Covenant
      • ⚔️Koadic
      • 💾Bases de datos
        • 💾MySQL
        • 💾PostgreSQL
      • ⚙️P.E. Avanzada
      • 🧼Borrado de evidencias
    • 🌋Escalada de Privilegios
      • 🐧Linux P.E.
        • 🐧Linux - Enumeración del entorno
        • 🐧Linux - Enumeración de servicios y componentes internos
        • 🐧Linux - Búsqueda de credenciales
        • 🐧Linux - Abuso de PATH
        • 🐧Linux - Abuso de comodines
        • 🐧Linux - Shells restringidos
        • 🐧Linux - Permisos especiales
        • 🐧Linux - Abuso de permisos Sudo
        • 🐧Linux - Grupos privilegiados
        • 🐧Linux - Capabilities
        • 🐧Linux - Servicios vulnerables
        • 🐧Linux - Abuso de Cron
        • 🐧Linux - Contenedores
        • 🐧Linux - Docker
        • 🐧Linux - Kubernetes
        • 🐧Linux - Logrotate
        • 🐧Linux - Técnicas varias
        • 🐧Linux - Exploits del kernel
        • 🐧Linux - Bibliotecas compartidas
        • ⬆️Linpeas
      • 🔴GTFOBins
  • Evasión de defensas
    • 🛡️Detección y evasión de defensas
      • 🛡️Load Balancing Detector
      • 🛡️Evasión de WAFs
      • 🛡️Evasión de Antivirus
      • 🛡️Herramientas de Evasión
  • Active Directory
    • ☁️Active Directory
      • ☁️Enumeración en AD
        • ☁️AD: Enumeración inicial del dominio
        • ☁️AD: Enumeración de controles de seguridad
        • ☁️AD: Enumeración con credenciales: desde Linux
        • 👁️PowerView
        • ☁️AD: Enumeración con credenciales: desde Windows
        • ☁️AD: Enumeración nativa en Windows
      • ☄️Sniffing desde el Foothold
        • ☄️LLMNR/NBT-NS Poisoning - Desde Linux
        • ☄️LLMNR/NBT-NS Poisoning - Desde Windows
      • 🔫Password Spraying
        • 🔫AD: Políticas de contraseñas
        • 🔫AD: Crear lista de usuarios
        • 🔫Password Spraying Interno - Desde Linux
        • 🔫Password Spraying Interno - Desde Windows
      • 🐺Kerberos
        • ⚔️Hacking en Kerberos
        • ⚔️Kerberoasting desde Linux
        • ⚔️Kerberoasting desde Windows
        • 🗝️Acceso a Credenciales
        • 🗝️Volcado de LSASS y SAM
        • 🗝️Credenciales cacheadas
        • 🗝️Pass the Hash
        • 🪙Token Impersonation
        • 🎟️ASK-TGT
        • 🎫Golden y Silver Tickets
        • 🐺Kerberos "Double Hop"
      • 🦸‍♂️ACLs - Access Control Lists
        • 🦸‍♂️ACLs Vulnerables
        • 🦸‍♂️Enumeración de ACLs
        • 🦸‍♂️Tácticas de abuso de ACLs
      • 🔄DCSync
      • ⬆️Acceso Privilegiado
      • ❤️‍🩹Vulnerabilidades en AD
      • ⚙️Malas configuraciones en AD
      • 🤝Relaciones de confianza
        • 🤝Ataque de confianza de dominio - Desde Windows
        • 🤝Ataque de confianza de dominio - Desde Linux
        • 🤝Abuso de confianza entre bosques - Desde Windows
        • 🤝Abuso de confianza entre bosques - Desde Linux
      • ☁️Vulnerable AD
      • ⬇️SAM
      • 🔐LDAP
      • 🔐NTDS
      • 🔐NTLM/SMB Relay
      • 🩸BloodHound
      • 🛡️Hardening en AD
      • 💻Técnicas adicionales de auditoría en AD
      • 💻AD - Skills Assestment I
      • 💻AD - Skills Assestment II
  • Hacking en entornos reales
    • ☁️AWS - Amazon Web Services
    • ⚔️Hacking en AWS
  • Anonimato y privacidad
    • 👹Anonimato y Privacidad
      • 🔒VPN
      • 🔒Proxy
      • 🔒Red TOR
      • 🔒Zero Knowledge Services
  • Machine Learning en Hacking
    • 🧠Machine Learning
      • 🧠Batea
      • 💀Pesidious
  • Writeups
    • 🟢Hack the Box
      • 🔴Freelancer (WIP)
      • 🟠Blurry
      • 🟠Zipping
      • 🟠Hospital
      • 🟢Chemistry (WIP)
      • 🟢GreenHorn
      • 🟢Sea (WIP)
      • 🟢PermX
      • 🟢Boardlight
      • 🟢Bizness
      • 🟢Broker
      • 🟢Devvortex
      • 🟢CozyHosting
      • 🟢Codify
      • 🟢Analytics
      • ⚫Report Model
    • 🌐Over The Wire
      • 🌐Bandit
      • 🌐Natas
    • 🐋Dockerlabs
      • 🟢Move
      • 🟠Inclusion
      • ⚫Big Pivoting (WIP)
Con tecnología de GitBook
En esta página
  • Cómo escapar de los shells restringidos
  • RBA
  • RKSHS
  • RZSH
  • Escapando
  • Inyección de comandos
  • Sustitución de comandos
  • Encadenamiento de comandos
  • Variables de entorno
  • Funciones de Shell
  • Caso práctico

¿Te fue útil?

🐧Linux - Shells restringidos

Cómo escapar de los shells restringidos

Un shell restringido es un tipo de shell que limita la capacidad del usuario para ejecutar comandos. En un shell restringido, el usuario solo puede ejecutar un conjunto específico de comandos o solo puede ejecutar comandos en directorios específicos. Los shells restringidos se utilizan a menudo para proporcionar un entorno seguro para los usuarios que pueden dañar el sistema de forma accidental o intencional, o para proporcionar una forma de que los usuarios accedan solo a determinadas funciones del sistema. Algunos ejemplos comunes de shells restringidos incluyen el shell rbash en Linux y el "Shell de acceso restringido" en Windows.

RBA

Bourne shell restringido (rbash) es una versión restringida de Bourne shell, un intérprete de línea de comandos estándar en Linux que limita la capacidad del usuario para utilizar ciertas funciones de Bourne shell, como cambiar directorios, configurar o modificar variables de entorno y ejecutar comandos en otros directorios. Se utiliza a menudo para proporcionar un entorno seguro y controlado para los usuarios que pueden dañar el sistema de forma accidental o intencionada.

RKSHS

El shell Korn restringido (rksh) es una versión restringida del shell Korn, otro intérprete de línea de comandos estándar. El shell rksh limita la capacidad del usuario para utilizar ciertas funciones del shell Korn, como ejecutar comandos en otros directorios, crear o modificar funciones del shell y modificar el entorno del shell.

RZSH

El shell Z restringido (rzsh) es una versión restringida del shell Z y es el intérprete de línea de comandos más potente y flexible. El shell rzsh limita la capacidad del usuario para utilizar ciertas funciones del shell Z, como ejecutar scripts de shell, definir alias y modificar el entorno del shell.

Por ejemplo, los administradores suelen utilizar shells restringidos en redes empresariales para proporcionar un entorno seguro y controlado a los usuarios que puedan dañar el sistema de forma accidental o intencionada. Al limitar la capacidad del usuario para ejecutar comandos específicos o acceder a determinados directorios, los administradores pueden garantizar que los usuarios no puedan realizar acciones que puedan dañar el sistema o comprometer la seguridad de la red. Además, los shells restringidos pueden dar a los usuarios acceso únicamente a determinadas funciones del sistema, lo que permite a los administradores controlar qué recursos y funciones están disponibles para cada usuario.

Imagine una empresa con una red de servidores Linux que alojan aplicaciones y servicios empresariales críticos. Muchos usuarios, incluidos empleados, contratistas y socios externos, acceden a la red. Para proteger la seguridad y la integridad de la red, el equipo de TI de la organización decidió implementar shells restringidos para todos los usuarios.

Para ello, el equipo de TI configura varios shells rbash, rksh, y rzsh en la red y asigna a cada usuario un shell específico. Por ejemplo, a los socios externos que necesitan acceder solo a determinadas funciones de la red, como el correo electrónico y el uso compartido de archivos, se les asignan shells rbash, lo que limita su capacidad para ejecutar comandos específicos y acceder a determinados directorios. A los contratistas que necesitan acceder a funciones de red más avanzadas, como servidores de bases de datos y servidores web, se les asignan shells rksh, que les proporcionan más flexibilidad pero aún limitan sus capacidades. Por último, a los empleados que necesitan acceder a la red para fines específicos, como ejecutar aplicaciones o scripts específicos, se les asignan shells rzsh, que les proporcionan la mayor flexibilidad pero aún limitan su capacidad para ejecutar comandos específicos y acceder a determinados directorios.

Se pueden utilizar varios métodos para escapar de un shell restringido. Algunos de estos métodos implican explotar vulnerabilidades en el propio shell, mientras que otros implican el uso de técnicas creativas para eludir las restricciones impuestas por el shell. A continuación se muestran algunos ejemplos de métodos que se pueden utilizar para escapar de un shell restringido.

Escapando

En algunos casos, es posible escapar de un shell restringido inyectando comandos en la línea de comandos u otras entradas que el shell acepta. Por ejemplo, supongamos que el shell permite a los usuarios ejecutar comandos pasándolos como argumentos a un comando integrado. En ese caso, es posible escapar del shell inyectando comandos adicionales en el argumento.

Inyección de comandos

Imaginemos que estamos en un shell restringido que nos permite ejecutar comandos pasándolos como argumentos al comando ls. Desafortunadamente, el shell solo nos permite ejecutar el comando ls con un conjunto específico de argumentos, como ls -l o ls -a, pero no nos permite ejecutar ningún otro comando. En esta situación, podemos usar la inyección de comandos para escapar del shell inyectando comandos adicionales en el argumento del lscomando.

Por ejemplo, podríamos usar el siguiente comando para inyectar un comando pwd en el argumento del comando ls:

afsh4ck@kali$ ls -l `pwd`

Este comando haría que se ejecute el comando ls con el argumento -l, seguido de la salida del comando pwd. Dado que el comando pwd no está restringido por el shell, esto nos permitiría ejecutar el comando pwd y ver el directorio de trabajo actual, aunque el shell no nos permita ejecutar el comando pwd directamente.

Sustitución de comandos

Otro método para escapar de un shell restringido es utilizar la sustitución de comandos. Esto implica utilizar la sintaxis de sustitución de comandos del shell para ejecutar un comando. Por ejemplo, imagine que el shell permite a los usuarios ejecutar comandos encerrándolos entre comillas simples invertidas (`). En ese caso, es posible escapar del shell ejecutando un comando en una sustitución de comillas simples invertidas que no esté restringida por el shell.

Encadenamiento de comandos

En algunos casos, puede ser posible escapar de un shell restringido mediante el uso de encadenamiento de comandos. Necesitaríamos utilizar varios comandos en una sola línea de comandos, separados por un metacarácter de shell, como un punto y coma ( ;) o una barra vertical ( |), para ejecutar un comando. Por ejemplo, si el shell permite a los usuarios ejecutar comandos separados por punto y coma, puede ser posible escapar del shell mediante el uso de un punto y coma para separar dos comandos, uno de los cuales no está restringido por el shell.

Variables de entorno

Para escapar de un shell restringido y utilizar variables de entorno, es necesario modificar o crear variables de entorno que el shell utiliza para ejecutar comandos que no están restringidos por el shell. Por ejemplo, si el shell utiliza una variable de entorno para especificar el directorio en el que se ejecutan los comandos, es posible escapar del shell modificando el valor de la variable de entorno para especificar un directorio diferente.

Funciones de Shell

En algunos casos, es posible escapar de un shell restringido mediante el uso de funciones de shell. Para ello, podemos definir y llamar a funciones de shell que ejecuten comandos no restringidos por el shell. Supongamos que el shell permite a los usuarios definir y llamar a funciones de shell; es posible escapar del shell mediante la definición de una función de shell que ejecute un comando.

Caso práctico

Utilice diferentes métodos para escapar del shell restringido y leer el archivo flag.txt. Envíe el contenido como respuesta.

SSH a 10.129.64.30 (ACADEMY-LLPE-RSH)
Usuario "htb-user"
Contraseña "HTB_@cademy_us3r!"

Accedemos por SSH:

afsh4ck@kali$ ssh htb-user@10.129.64.30
The authenticity of host '10.129.64.30 (10.129.64.30)' can't be established.
ED25519 key fingerprint is SHA256:HfXWue9Dnk+UvRXP6ytrRnXKIRSijm058/zFrj/1LvY.
This host key is known by the following other names/addresses:
    ~/.ssh/known_hosts:1: [hashed name]
    ~/.ssh/known_hosts:5: [hashed name]
    ~/.ssh/known_hosts:6: [hashed name]
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.129.64.30' (ED25519) to the list of known hosts.
htb-user@10.129.64.30's password: 
Welcome to Ubuntu 20.04.3 LTS (GNU/Linux 5.4.0-88-generic x86_64)

htb-user@ubuntu:~$ ls
-rbash: /usr/lib/command-not-found: restricted: cannot specify `/' in command names

Nos encontramos ante una shell restrictiva en la que no podemos ejecutar el comando ls por ejemplo. Podemos usar echo para listar los archivos de la siguiente manera

htb-user@ubuntu:~$ echo $PATH
/home/htb-user/bin
htb-user@ubuntu:~$ echo *
bin flag.txt

Tampoco podemos redirigir el output a un archivo como en el ejemplo siguiente, por lo que tendremos que buscar una alternativa:

htb-user@ubuntu:~$ echo 'cat flag.txt' > /home/htb-user/bin/mycat
-rbash: /home/htb-user/bin/mycat: restricted: cannot redirect output

Con el siguiente script en bash conseguimos leer el archivo:

htb-user@ubuntu:~$ while read line; do echo $line; done < flag.txt
HTB{35c4p3_7h3_r3strict3d_5h311}

AnteriorLinux - Abuso de comodinesSiguienteLinux - Permisos especiales

Última actualización hace 1 mes

Page cover image