Linux exploit攻击路径分析

Linux Exploit 攻击路径分析

一、攻击路径全景图

初始入侵：常见入口包括对外暴露且存在漏洞的服务（如 Samba CVE-2007-2447 usermap_script 命令注入，获取低权 shell）、弱口令/默认口令（IoT 设备被 Mirai 批量控制）、Web 应用或 SSH 弱口令等。
本地提权：拿到低权后，优先寻找配置缺陷（SUID/GUID、Sudo 误配、可写 Cron/服务脚本），若无果再转向内核漏洞（如 CVE-2016-5195 Dirty COW、CVE-2025-21756 vsock UAF）。
持久化与横向：部署 SSH 公钥、Cron 反弹、内核模块/Rootkit，随后进行内网探测与横向移动。
关键特点：在 Linux 环境中，配置错误导致的提权（SUID/Sudo/Cron）比内核漏洞更常见，但一旦命中内核级 LPE，往往一步到位到 root。

二、典型攻击路径与利用要点

路径	典型入口/漏洞	关键原语	利用要点	检测与缓解
远程代码执行到本地提权	Samba CVE-2007-2447 usermap_script	未认证命令注入	通过 SMB 用户名注入执行任意命令，获取低权 shell；随后转向本地提权（SUID/Sudo/内核）	关闭或限制匿名/弱口令访问，升级 Samba，最小权限与网络分段
配置错误提权	SUID/GUID、Sudo 误配、可写 Cron/服务脚本	高权限进程执行、脚本可写	枚举 SUID/Sudo 可提权项（如 find、vim、python），或向 root 定时脚本写入反向 shell	定期审计并移除不必要 SUID，严格 sudoers，锁定脚本与目录权限
内核本地提权	CVE-2016-5195 Dirty COW、CVE-2025-21756 vsock UAF	写时复制竞争/UAF 控制对象	通过竞态或对象劫持获得内核代码执行，调用 commit_creds(init_cred) 获取 root	及时打补丁、启用 KASLR/SMAP/SMEP、最小化内核模块与特权位
内核绕过与执行	VDSO/ret2dir、修改 prctl 虚表	用户态可执行映射、任意写	通过修改 VDSO 权限或劫持 security_operations->task_prctl 调用 set_memory_rw 布置 shellcode	加固 VDSO 映射、限制内核指针暴露、启用 PXN 等执行限制

三、内核利用技术要点

防护机制与绕过思路：现代内核启用 SMEP/PXN 阻止内核执行用户态代码，常见绕过包括：
- 利用 VDSO 与 set_memory_rw 将用户态映射改为可写并执行；
- ret2dir 利用内核低端映射的“影子页”执行代码（部分平台已被封堵）；
- 劫持 prctl 的 security_task_prctl 虚表，间接触发 set_memory_rw 等内核导出函数；
- 通过 UAF 劫持对象函数指针（如 sk->sk_prot->close）转向 ROP 链，最终调用 commit_creds(init_cred) 获取 root。
实战案例提示：
- CVE-2025-21756 vsock UAF：借助 vsock_diag_dump 侧信道绕过 kASLR，劫持关闭函数指针执行 ROP 并调用 commit_creds(init_cred) 完成提权；
- Dirty COW：通过多线程竞态修改只读映射页，进而改写 /etc/passwd 或 SUID 程序实现提权。

四、检测与加固清单

补丁与内核防护：
- 保持内核与发行版为最新，关键系统启用 内核热补丁；
- 启用并验证 KASLR、SMAP、SMEP、PXN 等缓解是否生效。
配置基线：
- 审计并清理不必要的 SUID/SGID；
- 严格 sudoers，仅授予必要命令与最小权限；
- 锁定 /etc/crontab 与 /etc/cron.*/ 及脚本目录权限，避免可写；
- 限制对外暴露服务与端口，禁用过时组件（如旧版 Samba）。
监测与响应：
- 监控异常进程创建、特权切换与可疑模块加载；
- 审计关键文件（如 /etc/passwd、/etc/shadow、~/.ssh/authorized_keys）的变更；
- 结合基线核查与自动化巡检（如 LinPEAS）定位提权面。

合规声明

本内容仅用于授权的安全测试、加固与防护研究，严禁用于未授权的入侵、破坏或违法行为。实施任何测试前请确保具备明确书面授权，并对可能的风险与影响进行评估与负责。

最新问答