Eksploitasi LPE Terbaru 2026: Dirty Frag | CVE-2026-43284 & CVE-2026-43500 | Rooting Linux
三句話摘要
示範新型 Linux 核心提權漏洞 DirtyFrag 的實戰利用,搭配 Chisel 與 gsocket 繞過防火牆,一行指令取得 Root 權限。 DirtyFrag 因無 Race Condition 比 DirtyPipe 更穩定,搭配 gsocket 繞過防火牆後,一行指令即可在 Linux Kernel 5.14 環境穩定取得 Root 權限。 DirtyFrag 機制類似 DirtyPipe,但因無 Race Condition 而不會造成 Kernel 崩潰或觸發 Buffer Overflow,舊版類似漏洞(如 Buckeye 時期)因有競爭條件會導致伺服器變得如 DoS 狀態,DirtyFrag 解決了這個不穩定問題。
重點整理
重點- 1
DirtyFrag 機制類似 DirtyPipe,但因無 Race Condition 而不會造成 Kernel 崩潰或觸發 Buffer Overflow,舊版類似漏洞(如 Buckeye 時期)因有競爭條件會導致伺服器變得如 DoS 狀態,DirtyFrag 解決了這個不穩定問題。
- 2
目標防火牆封鎖了標準 Reverse Shell(PentestMonkey 的 bash/nc 類型),因此必須改用 Chisel 建立 TCP Tunnel,再透過 gsocket 穿透防火牆,而非直接連線。
- 3
gsocket 的 session 具備高度持久性,即使伺服器重啟後連線仍可維持,講者提到曾有 session 存活超過一年,使其成為理想的隱蔽隧道工具。
- 4
部分伺服器無 gcc 環境無法即時編譯,因此預備預編譯(precompiled)版本的二進位檔以直接執行,是實戰中不可忽略的細節。
實用技巧與重點
乾貨- 目標系統:Ubuntu 24,Linux Kernel 5.14;也在 6.10、6.17 版本測試
- 漏洞名稱:DirtyFrag(Linux Privilege Escalation)
- 類比漏洞:DirtyPipe(CVE-2022-0847)
- 隧道工具:Chisel(影片稱 Chancrow)、gsocket(Gas Socket / Gas Netcat)、Bore(備選)
- Secret Key 長度:22 個字元(隨機生成)
- Exploit 來源:GitHub repository 名為 Fable
- 執行方式:一行 Git Clone 指令直接觸發,或使用預編譯二進位
- gsocket 持久性:伺服器重啟後 session 仍存活,最長紀錄超過一年
- 提權確認方式:成功讀取 /etc/shadow(僅 Root 可讀)
- 後台執行:使用 Nohup 搭配 Chisel 背景建立隧道
結論
結論“DirtyFrag 因無 Race Condition 比 DirtyPipe 更穩定,搭配 gsocket 繞過防火牆後,一行指令即可在 Linux Kernel 5.14 環境穩定取得 Root 權限。”
完整解析
詳細DirtyFrag 是一個針對 Linux 核心的本地提權漏洞,本影片以實際滲透測試環境為背景,展示從普通 admin 權限提升至 Root 的完整攻擊鏈。目標系統為 Ubuntu 24,核心版本 5.14,講者也提到在 6.10、6.17 等版本上驗證過相同效果。DirtyFrag 的運作機制與知名的 DirtyPipe 相似,但最關鍵的改進在於它沒有 Race Condition,因此不會導致 Kernel 崩潰或記憶體損毀。相比之下,早期類似漏洞(如 Buckeye 時期)因存在競爭條件,常使伺服器陷入類似 DoS 的 Buffer Overflow 狀態,DirtyFrag 的穩定性顯著更高,一行指令即可完成提權,成功率極高。
由於目標環境的防火牆封鎖了標準 Reverse Shell(如 PentestMonkey 所提供的 bash 或 nc 類型指令),講者改採 Chisel(影片中稱為 Chancrow)建立加密的 TCP Tunnel,再透過 gsocket(Gas Socket / Gas Netcat)建立可穿透防火牆的隱蔽通道。gsocket 的一大實戰優勢在於 session 持久性極強,即使目標伺服器重新啟動,連線仍可存活,講者甚至提及曾有 session 維持超過一年。影片也提到 Bore 作為 Tunneling 的替代方案,適用於不同環境限制下的靈活選擇。
實際操作流程分為兩個階段:首先建立隧道,講者隨機生成 22 字元的 Secret Key,透過 GitHub 上傳工具檔案,以 Nohup 在後台啟動 Chisel,再透過 gsocket 以該 Secret Key 接入目標取得 Reverse Shell。第二階段執行提權,從 GitHub 上名為 Fable 的 repository 以一行 Git Clone 指令取得並執行 DirtyFrag exploit。考量到部分伺服器無 gcc 環境,講者同時準備了預編譯版本的二進位檔案以備直接使用。整個提權過程相當迅速,執行後幾乎立即取得 Root Shell。
最終的提權確認方式是嘗試讀取 /etc/shadow,這個存放使用者密碼雜湊的敏感檔案在正常情況下僅 Root 有讀取權限。成功讀出 shadow 內容,即代表已完整掌握系統最高權限,整條攻擊鏈在受限的防火牆環境下得到驗證。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
