linux提权漏洞教程

兄弟们， linux 系统安全圈又崩了，受影响的范围从二零一七年到二零二六年，这九年时间内构建的所有 linux 系统几乎全部都存在这个漏洞，我们以乌班兔二十四版本为例来验证一下， 切换到普通用户，接下来将 puc 脚本上传一下执行命令 python 三， 加载上 copy file e 叉 p 回车。回完车以后，大家可以看到，原来是刀老提示符，现在已经变成警号，忽然麦已经是 root 了，我们来修复一下这个漏洞。第一种方法， ap update， 先更新一下原，然后把整个系统全部升级一下，那么在升级的过程中自然就会把内行顺带的也升级上，接下来执行 app for upgrade 就 可以了。升级完成以后，记得 reboot 重启一下， 这种升级方案对整个操作系统来说影响范围比较大。第二种方法，临时禁用模块，我们执行这条命令，禁用一下，加载临时模块，再执行这条命令，把已经加载的这个模块删除一下。此时我们再切到普通用户上， 这是一叉 p 脚本，我们再次运行一下，大家可以看到脚本已经无法执行了，在这里已经直接报错。两种修复方案，根据你的情况抓紧修复一下系统。

兄弟们， linux 系统被爆出了本地提权漏洞，只需要在普通用户下执行 p o c 脚本便可以提升入特权限，成功率百分之百。下面演示 linux 系统本地提权的过程，在卡利系统进入普通用户下，只需要执行 p o c 脚本便可以提升至入特权限。 下面演示刀客容器逃逸的过程。首先在容器中以普通用户身份执行 p o c 脚本后，成功提全入特用户权限。最后返回宿主机系统， 以普通用户身份执行苏命令后，不需要任何密码验证便可以提权入特用户权限。大家尽快升级补丁或做好防护措施。

二零二六，首个内核级高危漏洞，华为发布高危预警，厦门大学提示，本地侵权漏洞执行 poc 直接回车， 影响范围十分广泛，从二零一七年到二零一六年四月的几乎所有主流 linux 发行版本以下，阿玛顿 linux 红帽十级以下， 苏子十六级以下均受影响。我们以最新版的凯里林克斯二零二六点一来测试。当前我是普通用户，凯里上传 poc， 执行 poc 直接回车，你会看到警号， 执行 who i am。 现在我们已经是入他了。我来提供两种解决方案，第一个，升级内核一半无管图，凯里系统 可以直接 a p d 负 upgrade， 升级伴奏 reboot 重启系统，红帽 rocky 阿拉马林克斯可以 update， 铰刀也需要重启生效。如果升级内核有风险，可以用这条命令临时解决，移除 a l g f 模块儿。

今天的视频内容是付现 linux 本地提权漏洞 c v 二零二六三幺四三幺，全程只用普通用户账号，不使用速度速命令操作。呼阿米查看当前用户 id， 查看权限 id u i d 等于一千，是第一个创建的普通用户，没有管理员权限足等于二十七速度，这个用户在速度组里不影响漏洞。 p o c 仓库， 进入仓库目录，查看文件目录 g c c 变异 e 艾克斯 p， 点 c 源码，执行点斜杠 e 艾克斯 p 运行漏洞，运行漏洞程序后，终端提示符由刀了符变为警号，说明权限发生了变化。执行霍阿米与 id 命令验证 当前用户已变为肉特，且 u id 等于零，全程未使用速度，漏洞利用成功，已获取系统最高权限。 以上就是本次本地提权漏洞的完整测试，从刀了符号到井号的变化就是漏洞生效最直观的证明。如果你对这类安全内容感兴趣，欢迎点赞收藏，我们下期再见！

其实软件提成我们简单一点，放到一台服务器，你看啊，就是如果当你操作系统提成不了的时候，数据库提成不了的时候， 那你就看他服务器装了什么软件，反正软件的话我们大概都知道他的大部分这个账号密码，包括权限，权限这一块都在配置文件里面，要么是在具体表里面，那么一般情况下我们只需要什么？第一个找他的屏障，他的屏障是保存在配置文件里面，有些是保存在个什么呃， d a t 这样的文件里面， 这些文件里面的话，你就把它下载下载，在本地也装一份，直接替换一下，这样的话你就都得到，你用本地去用你本地去连接得到它的品鉴码。如果是配置文件，像 todisco， 它的账号密码，密码虽然是加密存取在它的 todisco 那 个配置文件里面，那么但是我们可以什么？通过微博秀可以查看到这个配置文件， 如果查看到了，到了之后呢？直接得到他的这个 id 啊和他的密码，把他这个密码直接拷贝替换到你本地的去。 disco 接着是怎么做啊？哎，他也不是有个解码解解密更改吗？直接把那个眼睛点一下，哎，就变成铭文了，是不是也得也也是可以的。向日葵的话，他有一个什么面临执行漏洞是吧？ 扫他的档口，扫他的档口一般是五千后的档口。好啊，五万是吧？五万后的档口，找找他的那个签名，那个密钥拿到之后直接什么在酷克斯里面直接命令执行就行了，加一个酷克斯头。你像有些软件是目录配置不当，小 ftp 这个软件 它的配置文件的权限啊？权限，系统权限，包括文件写路权限，这些权限都在配置文件去修改。如果这个目录我们文件，这个目录下面的文件我们有编辑保存编辑权限，修改权限的时候， 我们是可以改变自己添加账号来执行操作系统命令的。后面还有一些这个什么，呃，其他的这个劫持提醒，劫持的话就是劫持系统的 d l 文件这种。

大家好，欢迎来到本期硬核技术拆解，我是你们的讲解员。今天我们要聊点绝对刺激的一个刚刚在安全圈炸开锅的底层核心漏洞，名字叫 fragment， 直译过来就是碎片失忆症， 它的 cve 编号是 cve， 二零二零四六三零零，说实话，不管你是搞 linings 服务器维怨的，玩云原生架构的，还是纯粹对底层安全感兴趣， 今天这期内容你绝对不能错过，因为我们接下来要把这个漏洞的底裤彻底扒下来，看看它到底是怎么回事。 二零一七，你可能会问，提这个年份干嘛？这就有点吓人了，因为从二零一七年到现在发布的几乎所有你能叫得上名字的主流 list 发行版， 只要内核版本在四点一四 g 以上，目前全都暴露在这个漏洞的枪口下。无棒土 dabien santos 或者是 r h e l arch 全军覆没。如果你现在还不采取行动，你的服务器大门基本上就等于是对黑客敞开的。 然后咱们再看一个让人后背发凉的数字，七点八，这是 franzi 的 c v s s 三点一评分，你可能觉得，哎，不到八分嘛，好像也不是什么灭顶之灾， 千万别被误导了，你要知道，这可是一个本地提权威胁。在本地提权的世界里，七点八分简直就是拉响了最高级别的防空警报， 这意味着什么呢？意味着攻击者只要在你系统里顺延坑干耳，随便搞到一个最最底层的普通账户，他就能顺藤摸瓜，完全不费吹灰之力的把整个系统的最高控制权拿到手。就这么夸张 好了，为了帮大家快速摸清这个大麻烦，咱们今天分五步走，先认识一下什么是 fragonia， 接着挖一挖它的底层逻辑，然后看看这颗炸弹的杀伤范围， 顺便盘点一下 esp 漏洞家族最后也是最重要的，给出直接能上手的修复方案。 ok， 废话不多说，直接进入第一部分，先来搞清楚 fragonia 到底是个什么鬼？ 烦记这事。这个漏洞是由 vr 安全团队的威廉邦林发现的，失忆症这个名字起的简直是绝了，完全踩到了点子上。 大家想啊，操作系统内核本来应该是个超级严谨的大管家对吧？哪块内存归水管，哪块被几个人共享他都应该门清。但偏偏在这个漏洞里，内核居然断片了，他硬生生的忘记了某个内存碎片正在被共享。 这一失忆不要紧，直接导致用户太可以随心所欲的去覆盖那些本来只能读不能写的页缓存，这简直是把系统的保险箱密码主动交给了劫匪啊！ 那么问题来了，内核到底是怎么断片的？咱们进入第二部分，深挖一下底层逻辑。这 个致命缺陷其实藏得非常深，躲在 linux 内核的 x c r m e s p 杠 t c p 子系统里，说白了，这就是个处理 ipsec 流量并把它塞进 t c p 协议里传输的模块。 当系统在这儿处理那些共享的内存碎片，并且试图把它们和套接字缓区，也就是 sock buffer 进行合并的时候， bug 被触发了。就在这个极其微小的处理交汇点上，内核就像脑子突然荡急了一样，直接把内存碎片的共享状态给弄丢了， 但是其实我觉得最离谱的还不是核心施移，而是这个漏洞作案的手法。它简直是个幽灵 fragnation， 可以 非常稳定地逐字结底去篡改系统里只读文件的内容，比如 u s r bin c u 这种关键程序。但是请注意，它绝对不去碰硬盘上的文件，它只改加载到内存里的副本儿。 这就意味着你平时用的那些高大上的磁盘文件，哈希检查完整性扫描工具，在他面前通通变成了摆设。人家硬盘上的文件完美无瑕，但你运行在内存里的程序早就被掉包了。 那攻击者具体是怎么操作的呢？门槛低到让人想骂街就四步。第一步，随便哪个普通用户敲个安 share 命令，建个隔离的命令空间，就能轻松骗到网络管理权限。 第二步，建个 tcp socket， 然后把模式切到有漏洞的 esp 信 tcp。 第三步，也是最核心的，利用 splice 系统调用和特制的数据包， 精准地把内存里的 u s r bin 苏给覆盖掉。最后一步，攻击者只要若无其事地敲一个苏命令，系统以为自己在执行正常程序，其实执行的是被篡改的恶意代码，嘣入的权限直接到手，名副其实的一键提全，就那么简单粗暴。 咱们接着看第三部分，这个漏洞的破坏力到底有多大？说它是核弹级，一点都不危过。主要有三大毁灭性大劫， 首先肯定是本地提权，普通用户秒变超级管理员。其次，也是我最想强调的容器逃逸。如果你们公司在用库尔纳斯跑业务，这绝别是个红色警报， 黑客只要控制了容器里的一个低权限进程，就能直接穿透容器隔离，反向把你的宿主机给彻底拿捏了。第三点，持久性。因为改的是内存里的系统文件，这玩意儿就像复古之居一样，只要你的服务器不重启，恶意篡改就一直生效。 接下来是第四部分。其实 fragnesia 并不是孤军奋战，它属于一个最贱疯狂暴类的 esp 漏洞家族， 你们感性吗？就在今年四月底到五月中旬，短短半个月时间里，这同一个核心模块儿连爆了三个大漏洞。 看看这进化速度，四月二十九号的 copy file 还得凑齐特金条件才能用。五月七号的 dirty flag 虽然厉害点儿，但还要靠拼运气的竞争条件。结果到了五月十三号， fragment 闪亮登场， 它不需要任何竞争条件，稳得可怕。更绝的是，就算你的温运老哥前脚刚刚熬夜打完了 dylfrog 的 补丁，面对今天的 fragmentia， 依然是直接被秒杀，这也就是为什么安全圈现在神经这么紧绷的原因。 好了，深呼吸问题既然出了，总得解决。第五部分，我们来聊聊该怎么救火。 各位屏幕前的运营和韩权大佬，赶紧截个图试试你们的保命清单。如果你目前的业务根本用不到 ipsec over tcp， 听我的，第一优先级立刻通过配置把 esp in tcp 模块给彻底禁用掉，这是最快最狠的直销办法。 另外，把非特权用户创建冥冥空间的权限卡死，再收紧那些没必要的本地社尔登录，这些都能大幅度拉高攻击者的门槛儿。最后，当然是盯紧不盯。 关于补丁时间线，是这样的好消息是，官方的修复代码已经提交到。 net 五数了。接下来的 kernel 版本，比如五点幺五点二点五六点一点一七一，还有六点六点幺三八，都会带上这个修复。像五滚土这种主流厂商也已经发了安全公告， 所以你现在要做的就是疯狂刷新你家 linux 供应商的更新列表，只要补丁一放出来，测好没问题，赶紧上生产环境，一秒都别耽误。 好了，今天关于 franknessia 的 硬核拆解就到这里。但在结束之前，我想给大家留个思考题。 咱们现在是原原生时代，大家都在搞容器、搞隔离，觉得稳若泰山。但是当整栋大楼的地基，也就是操作系统核心，仅仅因为一行小小的逻辑代码就能忘记去保护最核心的系统文件时， 你原本深信不疑的那些容器边界真的还像铁桶一样安全吗？在面对这种直接从底层发起的降维打击时，我们的防御体系还能撑得住吗？ 这个问题值得我们所有人好好想想。感谢大家的陪伴，我们下期技术拆解不见不散！

网络安全教程第二章一点一月全漏洞实操学网络安全我只看芋圆哦！哈喽，大家好呀，我是芋圆！还在为找不到实战漏洞案例头疼吗？还在对着理论知识发呆，不知道怎么上手操作验证漏洞。其实月全漏洞是最常见也最容易上手的漏洞之一， 今天我就用大白话加实操步骤，带大家亲手复现一次月全漏洞，一看就会，新手也能轻松拿捏。先划个重点，月全漏洞是网站常见的权限管控缺陷，简单说就是剪了别人的权限， 普通用户通过一些操作能拿到管理员或其他用户的访问操作权限本身漏洞的利用难度不高，但危害可不小。今天我们就用最直观的方式，一步步复现它全程实操，不玩虚的。通俗点说，月权漏洞一点都不神秘，也不是什么遥不可及的黑科技，它更像是网站权限管控上的小疏忽， 而我们要做的就是找到这个疏忽，并用合法的方式验证它重点仅用于授权测试和技术学习，非法操作后果自负。 我们平时学漏洞复现很多教程只讲理论，没有具体步骤，新手跟着走很容易卡壳。今天我就带大家从零开始，一步步操作，每一步都讲清楚，让你不用再对着教程迷茫，专心练技术，轻松上手越权漏洞复现。话不多说，直接上实操步骤，跟着做就能成功。 大家好，今天呢，我们来学习一个关于密码重置逻辑漏洞的一个这么样的靶场，这个漏洞呢，是它的核心呢，就是服务端没有正确验证请求中的用户身份啊，从而像我们这种攻击者肆意修改他人的密码， 我们将通过这个啊这个靶场的来来实操啊，来演示一下这个整一整个的流程。首先我们进入到这个靶场，然后我们要用到我们今天的工具我们的 gp。 首先呢啊，我们可以先来看一看啊他给我们的信息，首先呢啊我们就是我们用户，就是啊这个人还有密码就是他，然后受害者呢就是这卡洛斯啊，我们就是目标呢，就是要把卡洛斯的他的这个密码给破解更改好，我们来开始验证一下。 然后我们首先啊拿到这个靶场呢，我们来看一看它的这个信息，可以随便点一点，然后我们直接来看，我们有一个 my account， 然后我们可以先登录一下 p 首，然后我们登录进去，然后我们可以看我们看到我们已经啊成功登录了啊，我们的右下角呢是 win， 然后他的我们的电子邮箱也看到了，然后我们这里可以更改一下我们的电子邮箱，然后这里呢我们啊登出 再点一下喵 com， 这里也会注意这里有一个啊忘记密码，通常我们的月全都是这里出现了问题，那我们来可以啊改一下，看一下，这里看输入我们的用户名或者是邮箱，我们可以输入我们的用户名啊，邮箱太长了，让我我看，赶紧我们提交一下， 请点击你的邮箱啊去来重设这个密码的连接啊，我们这里有一个啊邮箱的客户端，我们点击一下，嗯， 我们可以看到这里一个谷体啊，这里就是我们来点击这个链接，就可以重置我们的密码了。然后我们点击一下啊，这里就显示了新密码和确认新密码啊，我们可以随便改一个，比如说一二三一二三啊，这个确认一二三，一二三啊，提交一下， 然后我们来看一看啊，我们有没有提呃，修改成功呢？ 叫我一二三一二三 logo， 你 让我们就已经成功的，又就呃登录了这个账户，说明我们的修改密码啊，是成功的啊，密码就不再是 peter 了，是一二三一二三， 然后我们经过了我们这个流程啊，我们要怎么样修改卡洛斯的啊，它的这个密码呢？哎，我们就要已经通过我们的 d p 这个工具来了， 然后我们找到我们的啊，代理啊，然后他有一个历史 htp 啊， history， 然后我们来掌握到啊，我们那会就嗯，那个邮箱的那个，点击重设密码社交的那个啊，链接我来找一下， 看我们这 logo 啊，这就是我们刚才啊，用新密码提交的一二三一二三，然后往后找，往后找，往后，通常，而且通常呢，你看找到了后啊，这是一个 post 啊，提交，然后看我的，我们的啊，名字是啊啊， when， 然后我们的密码一二三一二三 啊，然后我们往这看，还有一个 get 请求啊，这个，然后 get 请求呢？啊，它很显然就不是我们目标的啊，我们目标请求呢，通常都是 post post 请求，然后我们将这一个请求呢，要发送到我们的 repeater 啊重放器里， 然后就通过这个呢，我们就可以来更改一下啊，看看它有没有漏洞，我们可不可以更改啊？卡罗斯的它的这个密码， 然后我们把他的名字复制一下，然后我们把这里把他的名字给切换成卡罗斯，哎，我们再让他用我们这个密码，或者我们给他换一下，一二三四，啊，一二三一二三，一二三四。哎，我们这样再发送一下请求， 哎，然后我们再回到这个册出登，我们看看我们能不能啊登录上他的这个账户等。一二三啊，一二三四， 哎，看到看到没有，我们就已经啊成功的啊登录了卡洛斯的他的这个账户，然后也提示 congratulations 啊，就恭喜你啊，成功的解决了这个把场。 好的，今天呢，我们就到这里，最后再强调一遍，今天的实操仅用于合法的技术学习和授权测试，禁止用这种方法去攻击未授权的网站窃取信息或进行其他非法操作，一旦触犯法律，后果自负。和漏洞本身较成本身无关。 不管是零基础入门，还是想提升实战能力，多练这类基础漏洞，你的安全学习之路会轻松一倍，你学会了吗？

五一放假，程序员却集体加班？就在四月底， ai 刚挖出 linux 史上长达九年的漏洞， copy fail， 二零一七年后全量发行版全中招，只需要七百三十二字节小脚本，靠四字节内存写入 就能让普通用户秒升热度权限。只篡改内存，不动磁盘，杀毒软件根本查不到，就连容器隔离也直接被攻破。防护方法超简单，升级内核或禁用对应模块就行。想知道怎么自查设备是否中招？下期手把手教你评论区蹲一波！

我们渗透测试的时候，一般很少用手工去注入相关的这些漏洞。大家好，我是郭范夏，我们今天说一下渗透测试软件 zip， 为什么要说渗透测试软件呢？我们先举个例子， 就像快餐厅它不可能 diy， 为客户去量身定做相关的菜品，对吧？因为深度测试就像快餐一样，首先它要对系统进行一个快速的问题定位，好，那么接下来我们看一下如何对问题进行一个定位。首先呢我们先找到相关的这个软件 zip， 好， 打开软件之后呢，接下来我们找一下 active scan 主动扫描，好吧？这边都是中文了，是吧？然后呢我们可以在这边去修改相关的这些内容，我们这边就不管了，好吧，我们直接添加这种自动扫描，这时候我们需要去攻击的 url， 我 们的这个网站的 url 就 在这，我们直接复制， 然后直接粘贴，然后点击攻击。好，已经扫描完了，我们先看一下相关的响应，好吧？这边有一个四颗珠珠，好吧，我们直接就看这个吧。 首先是 get get 方式，它这边有相关的这个内容的一些说明，比如话它是害级别的，就是高级的高级漏洞，或者就是高风险的，是吧？然后呢它这边它会把这个 password 像这种参数会告诉我们，然后它以 get 方式，我们就会在这种 所谓的这种问号后面去输入相关的这个参数，然后去进行一个 circle 注入是吧？或者使用 circle map 是 吧？包括这种 pos 的 方式是吧？都一样，包括还有其他的这些漏洞是吧？

今天搞到了一个很恶心人的东西， cve 二零二六三幺四三幺的齐全漏洞的 python 源代码， 什么意思呢？就是利用这个 python 文件和几行命令就可以让普通用户下在没有 root 密码的情况下来获得 root 权限。 这个提权漏洞这两天特别的出圈，当然为了安全性和合法性，这个元代码我在这里就不展示了， 感兴趣的同学可以到网上去搜一搜。当然我在这里呼吁大家科学上网，遵守法律法规，科学上网，遵守法律法规。 这个 t 恤漏洞涉及的方面还是挺广的，我在这里做了一个总结，影响的有， linux 五点一的所有那个版本， nexus 五点一五的所有内核版本，六点一的所有内核版本，六点六的所有内核版本，六点一二的所有内核版本。还有就是六点一，八点二一和六点一九点一一，包括但不限于优观图二十四点零四及以下版本、 红帽八九十及以下版本、苏塞十六及以下版本。 那么怎么解决这个漏洞呢？一个办法就是升级内核，但是升级内核之前大家一定要做好数据备份，不然升级完内核以后系统崩溃这个很难办。 你可以升级到七点零级以上的内核版本，六点一八点二二级以上的内核版本。 还有一个临时的解决方案，就是以 root 权限禁用 alpha a 的 内核模块。下面是操作的一些命令， 像国内的大厂同信 dpi 二五已经推送了系统升级来解决这个漏洞。 麒麟软件给出了一个缓解措施，脚本链接我放在了评论区，有需要的同学可以自己下载一下。好的，关于这个漏洞就到这，开源无价，数据有价。

这绝对是现阶段 linux 最严重的漏洞，攻击者仅需一个普通用户权限和不到七三二字节的代码即可获取完整的 root 权限，接管你的服务器。也就是说，只要你的 linux 系统存在这个漏洞，任何一个普通账号都有可能瞬间变成管理员，完全控制整台机器。 它影响几乎所有主流发行版，包括优班图、 red hat、 dabin 等。更可怕的是，这个漏洞在容器环境中还能实现容器逃逸。 攻击者可以从一个受感染的权限很低的容器内部直接跳出来，控制整个宿主机以及上面运行的所有其他容器。这对于云环境和 coopernetis 来说是一个极其严重的威胁。 同时，这个漏洞的攻击过程非常隐蔽，它只修改内存中的数据，不碰硬盘上的任何文件，传统的文件完整性检测工具根本发现不了它。而且攻击的副作用会一直留在内存里， 即使攻击脚本退出了，被篡改的系统命令依然处于后门状态，任何普通用户都可以随时再次提权。受威胁最严重的场景包括云环境和 coopernetis、 c i c d 流水线中的自动化构建环境，以及高效企业里多人共用的共享服务器。 只要这些环境运行着受影响的内核版本，任何一个低权限用户都可能瞬间成为最高管理者。要修复这个漏洞，最彻底的办法就是立即升级内核， 在终端输入命令，更新内核，然后重启。重启后再执行漏洞验证，脚本就无法正常运行了，说明漏洞已经修复好了。本期视频就到这里，我们下期再见。

拉到微博社，如果对方是这个什么 enix 系统要你来提权，你怎么提权？来，我们首先梳理一下 enix 提权，一般的情况下，我们拉到微博社之后，在命令行下面先看一下那个 uem 杠 a 吧，看一下内核版本，根据对应的内核版本去找，在 github 上面找对应的 e 叉 p， 有了已经汇总了所有的 e 叉 p 吧，找到对应的 e 叉 p 之后呢？把这个 e 叉 p 直接传到哪里？传到这个 linux 的 这个什么 t m p 吧，临时目录啊，翻译一下，如果点 c 的 编辑，如果是点 s h 的， 直接脚板执行，背式直接执行啊，那这个一般的是我们一般的大部分都是通过内核提取，还有一个就是这个内核提取其实就是系统漏洞提取， 当然系统漏洞还有什么漏洞呢？就是我们给大家演示到的像 c v e 二零二一，就是那个 pol k i t 是吧？还有这个什么 e b p f 就 二零 c v e 二零二二，这个二三二二二二，还有这个什么？还有内核二零二一三四九三，包括这个什么？呃，我们后面讲的这个数据漏洞题全， c v e 的 这个四零三四，这个漏洞， 二零二一年的这些都是这个什么 enix 提权类动，理解吧，就是这些都是我们就是目前来讲就是影响力比较大的 enix 内核提权类动。除了这一块之外，还有其他的没有，就是我们的院委人员配置不当造成的这个提权啊。 s u i d 提权，就权限配置不当的时候， s u i d。 可以 提权吧。有哪些命令啊？什么 vr 命令， final 命令，还记得吗？ v i m 啊，还还有什么 mo 吧啊，历史啊等等，这些都可以进行什么？从普通用户提成为管理员权限 s u i d 后面又给大家讲了一下这个什么数据，数据配置不当的时候也会造成什么普通用户直接到管理员吧，大概就这三个方法。其实我们总结来讲就两大类，一个是愿为自身造成的，第二个是没有打不定内核，内核存在对应的内洞。

最火的 n g 四爆出了高危漏洞，几乎影响了所有的版本。该漏洞代码潜伏时间长达十八年，在二零二六年五月十三号被公开批 露。该漏洞可以在未经授权的服务器上执行恶意代码，进而获取服务器的权限。触发该漏洞非常简单， 在 ng 服务器的 read 模块配置满足特定条件时，攻击者可以通过发送精心构造的 h d p 请求触发堆缓冲期预出，整个过程无需身份认证即可发送攻击。触发漏洞的条件必须满足三点，第一点， red 和 set 指令在同一 location 中。第二点， react 字母串中包含问号。第三点， set 引用了 react 的 变量。最后，建议大家按以下步骤修复， 第一，升级 n 四版本至一点三零点二版本。第二，现有环境中避免使用 react 模块。第三，使用 waft 拦截恶意编码请求。第四，设置权限加固。

提权，是在成功渗透网页并获得初时访问权限后，通过利用系统应用或配置漏洞，将低权限账户提成为高权限的关键步骤。以下是常见的提权方式及实践思路。操作系统漏洞，利用， 利用未修复的系统漏洞进行提权，例如 windows 使用 ms 一 五零五一 c v e 二零一八杠八一二零等。本地提权漏洞，通过执行 exploit 获取 system 权限。 lenix， 利用内核漏洞或 s u i d。 程序提全，可通过 lenix ex pl o i t 杠 s u g g e s p r 点 s h 等工具辅助识别。可利用漏洞 配置错误与权限滥用，检查文件目录权限是否过于宽松，允许低权限用户修改关键系统文件。 查找以高权限运行的服务或进程，尝试劫持或注入代码。 s u i d。 提权，查找具有 s u i d。 位的可执行文件，这些程序在运行时会以文件所有者权限执行，若可被低权限用户调用，可能实现提权。 常用命令查找 s u i d。 文件， bash find slash， root perm minus four thousand print two devon nil。 第三方软件提权，利用服务器上安装的高权限软件漏洞，如 my sql， ms sq， servu 等数据库或服务的提权漏洞。 密码破解与窃取，使用 mini cards 从内存中提取 windows 铭文密码或 linux 用户密码。使用 john the reaper 或 hashcat 工具。 web 应用曾提权，利用文件包含命令执行等漏洞，直接执行系统命令，获取 shell， 上传 web shell 后通过反弹 shell 获得持久控制并进一步提权。社会工程与信任关系，利用诱导用户执行恶意操作，利用域环境中的信任关系横向移动并提权至域管理员。

想象一下啊，仅仅七百三十二个字节，说真的，这可能比咱们平时发的一条长微信大不了多少，对吧？但就是这么一个微不足道的拍一寸脚板，你敢信吗？它居然能瞬间击穿 linux 系统近十年的安全防线！ 大家好，欢迎来到本期的深度解析，今天我们要一起来拆解一场可以说是相当惊叹的数字劫案。 没错，今天咱们要全面剖析的就是这场被戏称为复制失败，也就是 copy failed 数字劫案。它的正式编号是 cve 二零二六杠三幺四三幺。一个较为高危的提权漏洞。 咱们今天要聊的可不仅仅是哪行代码写错了，而是要对一场堪称完美的提权操作进行一次彻底的历雪解剖。准备好了吗？咱们直接开始第一部分，咱们先来正式认识一下这个 copy fail 漏洞。 作为一个高危的本地提权漏洞，这位不速之客的分量到底有多重呢？ 来看这组数据， theories 的 安全研究员蔡一央利在二零二六年四月正式透露了它。你看看这个 c v s s， 三点一评分直接飙到了七点八分，妥妥的高危级别。 七点八分在现实中意味着什么呢？这么说吧，对于标准的 linux 服务器来说，这就等同于拉响了最高级别的红色警报。不过需要特别注意的是，它并不是那种从外部直接暴力轰炸你防火墙的漏洞， 相反，这个是一个非常典型的本地提权漏洞。大家可以这么理解，这就好比啊，他不是一个从大楼正门强行闯入的外部大道，他更像是一个已经混进大楼底层毫不稀罕的普通员工， 但是他居然通过某种极其巧妙的手段骗过了安保系统，最后大摇大摆的拿到了金库的万能钥匙，也就是咱们系统里常说的 root 权限。所以说，这纯粹就是一场教科书级别的内鬼作案。 那么问题来了，咱们这套安保系统的漏洞究竟藏在哪里呢？进入第二部分，致命的遗留优化，咱们得一起顺藤摸瓜，追踪到系统架构图纸最深处的那个致命瑕疵。 你知道这个漏洞在系统里潜伏了多久吗？说出来吓人，早在二零七三年，当时有一个其实是出于好意，为了提升系统性能的核心优化代码被提交了进去。 当时谁能想到，在之后的整整九年时间里，这个提交居然就像一颗定时炸弹一样，在核心深处静静的滴答作响，直到二零二六年四月才被彻底揪出来修复。 大家想想看，九年啊，这意味着，全球无数的底层基础建设，其实都在这个带有缺陷的地基上全速狂奔。 为了让大家更直观的理解这个深埋的技术债，咱们打个比方，这就好比图书馆的管理员犯了一个特别低级的模板错误，假设你去借一本极其珍贵，本来规定只能看绝对不能改的绝版书， 结果呢？管理员为了图省事，也就是咱们刚才说的那个优化，他没有按规定去给你复印一份，而是直接把那本绝版原著塞到了你手里。 在 linux 内核的世界里，这就意味着，负责加密的模块竟然没有正确地把止毒的夜缓欠和可写的缓冲区给彻底隔离开了， 我们来看看这个对比问题的核心，可以说是一目了然。看左边，这就是二零一七年引入的那个所谓的原子油化， 你看，只读缓存和可写保身区被极其危险的搅合在了一起，数据居然被允许直接流向可写的散列表，简直是乱套了对吧？再看右边，这才是真正正确且安全的做法，也就是异地操作。他严格的把内存的读写给彻底隔离开来， 当初就是为了盲目追寻那么一点点速度而超得劲道，最终却滚雪球般的变成了一个深不见底的安全天坑。好了，现在架构图纸上的漏洞咱们已经摸清楚了。第三部分，四字结提权结案， 我们来看看攻击者到底是怎么样利用这个潜伏多年的图纸缺陷，实施一场堪称完美的精准打击的。 这条攻击链设计的可以说是极其优雅，但最可怕的一点是，他的门槛实在是太低了。 第一步，他仅仅需要一个最最普通的本地低权限用户就够了，完全不需要任何特殊的开据权限，这也就意味着整个攻击过程根本不会触发什么警报及其稳定。接下来就是一连串较为巧妙的操作了，咱们一步步往下拆。 在第二部里，攻击者用到了 splice， 这个系统调用其实就有点像是强行在系统的安保门上死死地插了一个蝎子。 通过劫持 a、 f、 a、 l、 j 套接字，攻击者居然硬生生地把系统里最核心、平时受最严格保护的文件，比如大家都知道的那个用来切换用户的 e 缓存，直接给映射到了一个可以随便写入的通道上， 系统的防盗门就这样被悄无声息地撑开了一条缝。接下来，绝对是最让人倒吸一口凉气的环节。看这个数字四， 没错，仅仅只有四个字节。通过刚才撑开的那条缝，再利用前面提到的那个原地优化的致命缺陷，攻击者竟然向原本指读的环节里无比精准地写入了仅仅四个字节的恶意数据。 大家千万别小看这四个微小的字节，他已经足够从根本上彻底篡改掉秀命领的代码逻辑了。就像这句话说的，成功率接近百分之一百，无需硬编满版本或依赖复杂的静态条件， 这才是他真正可怕的地方。听到这儿，圈里的老玩家们肯定一下就联想到了当年那个轰动一时的 dirty call 脏牛漏洞，对吧？ 但是说实话，今天这个漏洞比脏牛还要简单，还要致命！为什么？因为它完全不需要去碰运气搞那些极其复杂的内存静态条件，这根本就是一次极其稳定、几乎百发百中的超级狙击！ 那么，这场仅仅需要四个字节就能完成的微型劫案，到底波及了全球多大的范围呢？ 第四部分漏洞影响范围咱们一起来看看这颗定时炸弹惊人的爆炸半径。 如果您刚好是一位系统管理者朋友，我强烈建议您现在可以稍微暂停一下咱们的解析，仔细对照一下屏幕上这些受影响的版本。 从二零一七年 linux 四点一四版本引入那个所谓的优化以来，直到二零二六年四月初出补丁之前的所有的主线 kernel 可以 说是全军覆没， 你看看五班土 r e、 l、 suz 甚至 debian， 这几乎把目前市面上所有主流的服务系统和云环境全给一网打尽了，可以说绝大部分的 linux 生态圈都在这波暴涨的冲击波里。 不过大家也别慌，咱们做这期解析可不是光为了制造焦虑的，更重要的是给大家送上救生圈儿。最后一部分修复与防御指南，咱们来看看如何立刻采取行动，把系统彻底锁死。 首先，句句权威也是最根本的修复方案来了，官方在二零二六年四月一日发布的补丁里，做法可以说是非常雷厉风行， 他们直接动手彻底回退了二零一七年那个酿成大货的原地优化，老老实实的重新恢复了安全的异地操作，再次把职督和咳血严格的隔离开来了。 所以，各位请务必一定要优先把您的克讷马上升级到对应的二零二六年四月之后的主线或者稳定分支的修复版本。 当然了，咱们都很清楚，现实中很多核心的生产环境，哪能说重启就重启啊，如果您的业务确实暂时没法立刻去升级内核，别急，这里有几个极其关键的临时防御大招，第一，优先级 立刻临时禁用 a f s o g 模块，这招很管用，等于直接釜底抽薪拔掉了攻击者用来连接套接字的作案工具。 同时，在咱们的日常管理中，一定要尽量清理掉系统中那些没必要的低权限本地账号，并且坚决死守，禁止一切匿名的本地访问，记住，尽最大可能去销说攻击面，这永远是咱们最稳妥的第一道防线。 好了，以上就是咱们今天对这个 copy fill 漏洞的全面深度解析。今天咱们亲眼见证了 一个早在二零一七年仅仅是为了追求一点点性能而做的微小优化，竟然能在长达九年之后演变成一场仅仅靠着七百三十二个字节就能直接夺走系统最高权限的超级灾难。所以在最后，我想给大家留下这样一个非常值得反思的问题， 大家不妨回去查查，在你们自己的系统架构，还有那些经年累月的遗留代码当中，到底还有多少当年为了图省事儿而强行塞进去的所谓优化， 此刻正像一颗颗定时炸弹一样悄悄潜伏在你们的系统深处呢！感谢大家收看今天的解析，咱们下区再见！

大家好， cpanel 主机管里面板被曝出严重的认证绕过漏洞，攻击者仅需要四个 h t p 请求，无需任何认证，直接远程拿到服务器 root 权限。 cpanel 是 全球使用最广泛的外部主机管里面板，该漏洞影响全球数百万台服务器，范围非常广。下面开始复现， 打开 cpanel 服务器管理页面，只需要执行 poc python 脚本，无需任何的交互就拿到了 linux shell， 并拥有 root 权限。 在攻击的过程中，分为以下四个步骤，第一步，拿预绘画，它是发送错误登录请求，获取基础的绘画。 第二步， c r l f 注入，它是构造特殊请求，往绘画文件写入 root 权限字段。 第三步，触发缓存，它是让系统把篡改的绘画同步到缓存，使权限生效。第四步，拿 edit 权限，是使用泄露的安全令牌直接访问管理接口。