Lucid-Duck/Lucid-Duck

GitHub: Lucid-Duck/Lucid-Duck

安全研究员兼 Linux 内核贡献者的个人作品集页面,展示其在嵌入式固件逆向工程、Linux 无线驱动开发和漏洞研究领域的实战成果与服务能力。

Stars: 0 | Forks: 0

# Lucid Duck [![CVE-2026-20161](https://img.shields.io/badge/CVE--2026--20161-Cisco_ThousandEyes-critical)](https://nvd.nist.gov/vuln/detail/CVE-2026-20161) [![Linux mainline contributor](https://img.shields.io/badge/Linux_kernel-mainline_contributor-orange?logo=linux&logoColor=white)](https://lore.kernel.org/linux-wireless/?q=lucid_duck%40justthetip.ca) [![morrownr/mt76 collaborator](https://img.shields.io/badge/morrownr%2Fmt76-collaborator-blue)](https://github.com/morrownr/mt76) [![Available for contracts](https://img.shields.io/badge/available-remote_contracts-success)](mailto:devinwittmayer@gmail.com?subject=Contract%20inquiry) [![Support on Ko-fi](https://img.shields.io/badge/Ko--fi-support_my_work-FF5E5B?logo=kofi&logoColor=white)](https://ko-fi.com/lucid_duck) 主线 Linux 内核补丁、已公开的 CVE、从零开始逆向工程的 Wi-Fi 驱动,以及一份付费的嵌入式固件逆向工程合同 —— **所有这一切都是在 2026 年 1 月以来完成的**,当时我开始全职投入 Linux 内部机制、逆向工程和漏洞研究。 **接受远程合同** - Linux 驱动开发 · 逆向工程 · 漏洞研究 📍 Vancouver Island, BC, Canada  ·  ✉️ devinwittmayer@gmail.com  ·  🌐 [justthetip.ca](https://justthetip.ca)  ·  ☕ [Ko-fi](https://ko-fi.com/lucid_duck) ## 🐧 Linux 内核与驱动工作 ### 🚧 旗舰项目:AICSEMI AIC8800 SoftMAC 驱动 - *进行中* AIC8800 USB Wi-Fi 系列**没有主线 Linux 支持**:供应商提供了一个闭源的固件 blob 和一个树外模块,而该模块在每个较新的内核上都会崩溃。我正在从零开始编写一个干净的 mac80211 (SoftMAC) 驱动,**没有任何源码和数据手册**,通过直接从反汇编中逆向工程的固件主机端 IPC 协议来完成。 **并行推进的两条上游路线:** 一个纯主机端的 SoftMAC 驱动,以及一个在运行时修补供应商 blob 的芯片端跳板(trampoline)。 **测试环境:** 一个基于 BPi-R4 Pro 自建的 Wi-Fi 7 接入点,配备 x86 和 aarch64 客户端。目标:一旦关联层落地,便推向上游主线。 ### 📦 上游贡献 | 贡献 | 状态 | |---|---| | rtw89 USB TX 流控修复 ([`80119a77e5b0`](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=80119a77e5b0)) | ✅ **已进入主线** | | mac80211 监控模式注入修复 (`d832f6b83d48`) | ✅ **已合并**,将在 7.2 版本落地 | | Netgear A8500 USB 设备 ID (`mt7925u`) | ✅ **已接受** (wireless-next) | | USB RF 校准超时修复(崩溃日志 + 5 名测试者确认) | ✅ **已合并** | | MediaTek 发射功率报告(包含在 MediaTek 自己的系列补丁中) | 🔄 审查中 | | mt76 `set_sniffer` · RX 比特率 · BADFCS · 卸载时空指针解引用 | 🔄 审查中 / 已暂存 | ### 📡 其他 - **rtw89 USB 2 到 USB 3 切换模式鸿沟** - 证明了主线内核默默地将 Realtek Wi-Fi 6/6E/7 USB 适配器限制在 USB 2 速度(在相同硬件上为 **258 对比 802 Mbps**),这在 4 款适配器、3 款芯片组和 2 种主机架构上均得到了验证。 - **[morrownr/mt76](https://github.com/morrownr/mt76) 维护** - 编写/分类协作者;充当该代码库、linux-wireless 邮件列表与 MediaTek 之间的联络人。 - **面向终端用户的[安装/卸载脚本](https://github.com/morrownr/mt76/blob/main/install-driver.sh)** - 任何会粘贴一行命令的人都能运行打过补丁的 MediaTek 驱动,而完全不需要打开内核代码树。 ## 🔬 嵌入式固件逆向工程 - *合同项目,2026 年* 为一家硬件安全供应商进行汽车无钥匙进入固件逆向工程:已交付和进行中的固件镜像共 **一打**,每一个都是对固件加密和密钥派生例程的**逐字节精确的 C 语言重新实现**,并已根据捕获的无线电流量或指令精确的模拟进行了验证。 - **七种 MCU 家族:** `STM8` · `ARM Cortex-M0` · `PIC` · `HCS12 / HCS12X` · `V850` · `R32C` · `8051` - **最困难的部分不是密码学:** 而是如何从剥离了符号的 flash 转储中获取函数映射。当现成的工具在分页 flash 和不常见的核心上无能为力时,我从零开始编写了自定义的**函数遍历器、反汇编器和指令精确模拟器**。 - **密码:** KeeLoq 变体 · XTEA · AES-128 · 自定义分组与 S-box 密码 · DST80 系列流密码 · 几种 PRNG 设计。 ## 🛡️ 漏洞研究 *所有发现均通过协调披露流程报告;大多数已发布修复程序。在适用禁运或保密协议的情况下,供应商名称已隐去。* - **Linux 网络监控代理上的本地 root 提权** - [CVE-2026-20161](https://nvd.nist.gov/vuln/detail/CVE-2026-20161) (Cisco ThousandEyes),我的第一个 CVE。跟随软链接加上一个 Linux 加载器特性,让任何本地用户都能获得持久的、全系统范围的 root 权限。 - **企业 VPN 客户端中的三个提权漏洞:** 一个 Windows 下竞争达到 SYSTEM 权限、一个以 root 身份运行但源于未经身份验证的本地 socket 的命令注入,以及一个转变为全系统范围 RCE 的 Linux 文件写入漏洞。三个 CVE 待定;同一产品还通过一个全局可读的共享内存区域泄露了凭据。 - **Windows 端点防护产品中的远程代码执行:** 一个精心构造的 UDP 数据包就会破坏网络过滤服务中的内存。供应商已确认,已发布修复。 - **虚拟网关产品上的跨客户冒充:** 硬编码在固件中且全球每个部署都相同的证书颁发机构私钥,允许伪造受任何安装信任的证书。同一产品线还产生了 RSA-512 许可证签名密钥伪造(分解了 512 位模数,恢复了私钥),并已在实机设备上验证。 - **网络设备 SSRF 导致云 IAM 凭据失窃**,其方式是绕过 DNS 重绑定过滤并访问实例元数据服务。 - **企业 Linux EDR 上的审计日志投毒:** 通过逆向工程的二进制 IPC 协议实现了隔离绕过,以及一个可以向云管理控制台审计日志注入伪造条目的利用原语。 *另外在身份验证、电信、金融科技和物联网领域还有 6 项发现。* 50 多个代码库并且还在增加 —— 随着我的进展不断构建、测试和记录。
标签:Chaos, Linux内核开发, Wi-Fi, 个人主页, 云资产清单, 嵌入式系统, 网络安全监控, 逆向工程, 驱动开发