当前位置：首页 > news >正文

Ubuntu16.04.4系统本地提权实验

news 2026/5/25 5:45:44

1.介绍：

2.实验：

3.总结：

1.介绍：

1.1：eBPF简介：eBPF(extendedBerkeleyPacketFilter)是内核源自于BPF的一套包过滤机制，BPF可以理解成用户与内核之间的一条通道，有非常强大的功能。一个典型的BPF程序流程为：用户程序调用syscall(__NR_bpf，BPF_MAP_CREATE，&attr，sizeof(attr))申请创建一个map，在attr结构体中指定map的类型、大小、最大容量等属性。用户程序调用syscall(__NR_bpf，BPF_PROG_LOAD，&attr，sizeof(attr))来将我们写的BPF代码加载进内核，attr结构体中包含了指令数量、指令首地址指针、日志级别等属性。在加载之前会利用虚拟执行的方式来做安全性校验，这个校验包括对指定语法的检查、指令数量的检查、指令中的指针和立即数的范围及读写权限检查，禁止将内核中的地址暴露给用户空间，禁止对BPF程序stack之外的内核地址读写。安全校验通过后，程序被成功加载至内核，后续真正执行时，不再重复做检查。用户程序通过调用setsockopt(sockets[1]，SOL_SOCKET，SO_ATTACH_BPF，&progfd，sizeof(progfd)将我们写的BPF程序绑定到指定的socket上。Progfd为上一步骤的返回值。用户程序通过操作上一步骤中的socket来触发BPF真正执行。eBPF虚拟指令系统属于RISC，拥有10个虚拟寄存器，r0-r10，在实际运行时，虚拟机会把这10个寄存器一一对应于硬件CPU的10个物理寄存器。用户可以用eBPF指令字节码的形式向内核输送代码，并通过事件来触发内核执行用户提供的代码；同时以map（key，value）的形式来和内核共享数据，用户层向map中写数据，内核层从map中取数据，反之亦然。eBPF可用于内核的跟踪和调试，网络事件的过滤和安全性。一般机制是：用户空间将一个特殊的汇编字节码加载到内核中，并附带说明附加程序的位置，内核运行一个“验证器”来确保程序是安全的，内核将字节码转换为本地代码，并将其附加到请求的位置。

1.2：当然，使普通用户能向内核提交可控的指令代码去执行，会带来一些严重的安全问题

1.3：CVE-2017-16995：这个漏洞存在于Linux内核的eBPF模块，是由于eBPF验证模块的计算错误产生的一个内存任意读写漏洞。用户和攻击者可以使用这个漏洞以达到提权的目的。提权原理：攻击者首先在进程用户空间植入提权代码，并且正常情况下内核函数指针指向内核空间的内核代码。利用写任意内存模式内核漏洞，修改函数指针，使得修改后的指针指向用户空间的提权代码，当攻击程序陷入到内核中执行到修改后的函数时，就将内核执行控制流引导至用户空间提权代码，将权限提权。影响范围：LinuxKernelVersion4.14-4.4(影响Ubuntu和Debian发行版)漏洞的触发，还需要2个条件。lKernel编译选项CONFIG_BPF_SYSCALL打开，启用了bpfsyscall；l/proc/sys/kernel/unprivileged_bpf_disabled设置为0，允许非特权用户调用bpfsyscall。修复方案：l设置/proc/sys/kernel/unprivileged_bpf_disabled为1，也是最简单有效的方式，虽然漏洞仍然存在，但会让exp失效；l使用Ubuntu的预发布源，更新Ubuntu4.4的内核版本，因为是非正式版，其稳定性无法确认

2.实验：

查看linux的版本--通过uname-a因为本次实验的提权漏洞只限于部分Linux内核版本（LinuxKernelVersion4.14-4.4
cat/proc/sys/kernel/unprivileged_bpf_disabled通过这个查看是否存在文件：如果存在则返回0
切换到用户m同时切换到目录并且查看文件信息

1.sudo gcc -o m upstream44.c

sudo chmod a+x m

编写代码发现用户变为了root

3.总结：

1.Kernel编译选项CONFIG_BPF_SYSCALL打开，启用了bpfsyscall；2.l/proc/sys/kernel/unprivileged_bpf_disabled设置为0，允许非特权用户调用bpfsyscall。

3.修复方案：l设置/proc/sys/kernel/unprivileged_bpf_disabled为1，也是最简单有效的方式，虽然漏洞仍然存在，但会让exp失效；l使用Ubuntu的预发布源，更新Ubuntu4.4的内核版本，因为是非正式版，其稳定性无法确认.

4.了解了漏洞原理

Ubuntu16.04.4系统本地提权实验

1.介绍：

2.实验：

3.总结：

相关文章：

Ubuntu16.04.4系统本地提权实验

Vue中使用正则表达式进行文本匹配和处理的方法

php许愿墙代码包括前端和后端部分

PHP 刷新缓存区的问题！

Android Studio Giraffe-2022.3.1-Patch-3安装注意事项

【古月居《ros入门21讲》学习笔记】14_参数的使用与编程方法

Webpack 懒加载

深度遍历DFS（括号生成，二叉树所有路径）

Rational Arithmetic

文心一言4.0（ERNIE-Bot-4）申请方法及简单调用代码示例

年终好价节买什么好？这些数码好物闭眼入

webpack对项目进行优化

Python edge-tts库全部声音模型一览表

网络编程相关面试题

TCP_NODELAY与TCP通信效率

ZooKeeper的分布式锁---客户端命令行测试（实操课程）

工业4.0时代：图像识别驱动制造业智能生产的未来

ROS vscode使用基本配置

Android、ESP32、ESP8266的mqtt通信

Hive安装与配置

Keil C251中RTX251配置错误解决方案

Scalify：基于e-graph的分布式机器学习计算图等价性验证工具

机器学习原子势能建模：深度集成与贝叶斯神经网络的不确定性估计对比

Atomic Layout嵌套布局最佳实践：构建复杂UI系统的完整指南

在Ubuntu 22.04上编译COLMAP 3.8，我踩过的那些坑（含Anaconda环境冲突、CUDA版本、GUI缺失等完整解决方案）

Qt6.5数控加工CAM框架实战：基于工厂模式与分层架构的CamCore完整实现

AI 术语通俗词典：RAG

ChatGPT生成图表总“丑”？3步精准调优Prompt+4类D3.js/Plotly适配模板，即刻提升专业度

今天不用就过期：Gemini深度研究模式2024Q3权限变更预警——3类高价值功能即将对免费用户关闭

CVE-2017-17215实战复现：华为HG532路由器栈溢出漏洞深度解析