GOVIND28/linux-copy-fail-exploit

# CVE-2026-31431 (Copy Fail) - LPE 漏洞利用 PoC    本仓库包含 **CVE-2026-31431**（被称为“Copy Fail”）的漏洞概念验证 利用代码，这是一个存在于 Linux 内核中的严重本地提权 漏洞。 **研究说明：** 该漏洞的特殊之处在于，它最初是由一个自主 AI Agent 在大约一小时内发现的，这凸显了下一代自动化漏洞研究的强大能力。 ## 🧠 理解该漏洞 “Copy Fail”是一个内存中的漏洞，它利用了 Linux 内核的 crypto API (`AF_ALG`) 与 `splice()` 系统调用相结合时的逻辑缺陷。 该漏洞利用不会向硬盘写入恶意文件，而是直接攻击 SUID 二进制文件（如 `/usr/bin/su`）的**页缓存 (RAM)**。通过强制触发解密失败，内核会无意中覆盖映射到该 SUID 二进制文件的只读内存页中的 4 个字节。该脚本会迭代此过程，从而将一个用于获取 root 权限的 shellcode 直接注入到执行流中。 ### 取证噩梦 该漏洞利用**在磁盘上不会留下任何痕迹**。存储器上的实际二进制文件完全保持不变。标准的文件完整性监控 (FIM) 工具在计算哈希值 (`sha256sum`) 时将不会显示任何变化，这使得蓝队 在进行内存分析之前，极难检测到这种利用后行为。 ## 🎯 易受攻击的系统 该漏洞利用已在以下发行版和内核版本上经过测试并确认有效： | 发行版 | 操作系统版本 | 易受攻击的内核版本 | | :--- | :--- | :--- | | **Ubuntu** | 24.04 LTS | `6.17.0-1007-aws` | | **Amazon Linux** | 2023 | `6.18.8-9.213.amzn2023` | | **RHEL** | 10.1 | `6.12.0-124.45.1.el10_1` | | **SUSE** | 16 | `6.12.0-160000.9-default` | *(注：大多数从 v4.14 到早期 6.x 的未打补丁内核都可能易受此攻击)* ## 🚀 逐步执行指南 请按照以下步骤在您本地隔离的环境中测试该漏洞利用。**不要以 root 身份运行；您必须以标准的非特权用户身份开始。** ### 步骤 1：克隆仓库 将漏洞利用代码克隆到您的易受攻击的目标机器上。 ``` git clone https://github.com/GOVIND28/linux-copy-fail-exploit.git ``` ``` cd linux-copy-fail-exploit ``` ### 步骤 2：使脚本可执行 授予该 python 脚本执行权限。 ``` chmod +x copy_fail.py ``` ### 步骤 3：验证当前权限 检查您当前的用户状态，以确认您没有 root 访问权限。 ``` id whoami ``` ### 步骤 4：执行漏洞利用 运行该 python 脚本。该脚本会处理内存投毒，并在成功执行后自动将您带入一个 root shell 中。 ``` python3 copy_fail.py ``` ### 步骤 5：验证 Root 访问权限 脚本执行完毕后，您应该会看到一个 root 提示符 (#)。验证您的新权限。 ``` id whoami ``` ### ⚠️ 免责声明 此代码仅用于教育、防御和研究目的。请勿在生产系统、云环境或任何您没有明确书面许可的网络上执行此脚本。作者对因使用本软件而造成的任何误用或损害概不负责。 ### 👨‍💻 作者：Govind Ambade [](https://www.linkedin.com/in/govind-ambade)

标签：0-day, AF_ALG, AI漏洞挖掘, Crypto API, CVE-2026-31431, Linux内核, LPE, Page Cache, PoC, Python, Rootkit, SecList, Shellcode, splice系统调用, SUID, Web报告查看器, Zeek, 代理, 内存取证, 内存攻击, 安全渗透, 技术调研, 攻击事件响应, 数据展示, 无后门, 无文件攻击, 暴力破解, 本地提权, 概念验证, 红队, 绕过文件完整性监控, 网络安全, 自动化安全研究, 隐私保护, 零日漏洞, 高危漏洞