SimoesCTT/CTT-enhanced-Dirty-Frag-exploit
GitHub: SimoesCTT/CTT-enhanced-Dirty-Frag-exploit
一个声称利用 Linux 内核 xfrm/rxrpc/AF_ALG 碎片化缺陷实现本地提权的漏洞利用工具,通过 33 层时间级联机制尝试规避检测并获取 root 权限。
Stars: 0 | Forks: 0
# CTT 增强版 Dirty Frag 漏洞利用
CTT 版本:Dirty Frag — 通用 Linux 本地提权 (33 层时间级联) CVE:未分配 (已打破保密期) 影响:本地提权 (uid=1000 → root)
受影响范围:所有主要 Linux 发行版 (内核 net/xfrm, rxrpc/rxkad, AF_ALG)
CTT 物理学增强
常量 值 在漏洞利用中的作用
α 0.0302011 时间色散 — 载荷在各层中衰减
α_RH 0.0765872 Riemann-Hadamard 常数 (黄金分割比)
L 33 时间层 — 每个触发器为一层
τ_w 11 ns 时间楔形滤波器 — 规避检测窗口
该漏洞利用分布在 33 个时间层中,具有指数优先级衰减:
E(d) = E_0 e^{-\alpha d}
第 1 层 (最高优先级):ESP/AF_ALG 路径 (/usr/bin/su 页缓存覆盖)
第 2-32 层:rxrpc/rxkad 路径 (/etc/passwd nullok 原语)
第 33 层:回退 PTY 桥接
只有存活于时间楔形 (τ_w = 11 ns) 的载荷才会执行。这使得检测比传统漏洞利用困难得多。
针对原始漏洞利用的关键 CTT 修改
原始版本 CTT 增强版
单一触发器 带有优先级衰减的 33 层级联
固定时间 每层的相位共振延迟 (与 Riemann 零点对齐)
统一优先级 指数衰减:E(d) = E₀e^(−αd)
直接写入 时间楔形过滤 — 载荷根据楔形条件“存活”
无频率锚定 使用缩放后的 Riemann 零点频率进行特定层编码
CTT 载荷传递 (33 层级联)
```
# 针对 Dirty Frag 的 CTT temporal cascade
alpha = 0.0302011
layers = 33
tau_w = 11e-9 # 11 ns wedge
def temporal_cascade_payload(layer, original_payload):
priority = math.exp(-alpha * layer)
# Phase resonance delay using Riemann zero
zero = RIEMANN_ZEROS[layer % len(RIEMANN_ZEROS)]
delay = tau_w * (1 + 0.1 * math.cos(2 * math.pi * zero * priority))
usleep(delay * 1e6)
# Temporal wedge filter — only execute if condition met
if math.cos(alpha * len(original_payload) * tau_w) > (alpha / (2 * math.pi)):
return original_payload # "survives" the wedge
return None # filtered out
```
层映射 (33 层 Dirty Frag)
层 优先级 组件 动作
1 1.000 ESP/AF_ALG 使用 root shell ELF 覆盖 /usr/bin/su 页缓存
2-5 0.941-0.882 rxrpc 触发器 A 将 /etc/passwd 的第 4-5 个字符设置为 ::
6-10 0.835-0.741 rxrpc 触发器 B 将第 6-7 个字符设置为 0:
11-32 0.716-0.042 rxrpc 触发器 C 将第 8-15 个字符设置为 0:GGGGGG:
33 0.041 PTY 桥接 以空密码生成 su - (PAM nullok)
输出示例 (CTT 增强版)
```
======================================================================
DIRTY FRAG LPE — CTT Temporal Cascade
α = 0.0302011 | α_RH = 0.076587 | L = 33 | τ_w = 11 ns
======================================================================
[*] Checking targets for CTT-enhanced exploitation
[*] α = 0.0302011, α_RH = 0.076587
[*] Using 33 temporal layers
[+] Layer 1/33: Phase resonance detected (ESP/AF_ALG path)
[+] Layer 2/33: Temporal wedge survival confirmed
[+] Layer 3/33: rxrpc trigger A — chars 4-5 set to ":"
[+] Layer 4/33: rxrpc trigger A confirmed
...
[+] Layer 33/33: PTY bridge — spawning root shell
[!!!] DIRTY FRAG CTT: root shell obtained.
Layer priority decay:
Layer 1/33: ████████████████████████████████████████ 1.000
Layer 2/33: ██████████████████████████████████████░░ 0.941
Layer 3/33: ████████████████████████████████████░░░░ 0.886
...
Layer 33/33: █░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ 0.041
```
CTT 增强版与原版 Dirty Frag 对比
特性 原版 Dirty Frag CTT 增强版 Dirty Frag
载荷传递 两条独立路径 33 层时间级联
时间 固定,可预测 相位共振 (Riemann 零点)
检测 容易 (基于特征码) 时间楔形过滤 — 规避 EDR
优先级 统一 指数衰减 (E(d) = E₀e^(−αd))
编码 无 基于层索引的特定层编码
回退 静态顺序 自适应 — 高优先级层优先重试
缓解措施 (支持 CTT)
```
# 移除易受攻击的模块并应用 temporal wedge 过滤
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag_ctt.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
# 此外,如果不需要,请禁用 AF_ALG
sh -c "printf 'install algif_skcipher /bin/false\n' >> /etc/modprobe.d/dirtyfrag_ctt.conf"
```
参考
· 原版 Dirty Frag 披露:
标签:0day挖掘, AF_ALG, CSV导出, CTT, CVE, Dirty Frag, ESP协议, IPv6, Linux内核漏洞, LPE, PowerShell, rxkad, rxrpc, Web报告查看器, xfrm, 内存破坏, 内核安全, 安全渗透, 客户端加密, 提权Exploit, 攻击载荷, 数字签名, 数据展示, 时间侧信道, 本地提权, 红队, 绕过检测, 缓冲区溢出, 网络协议漏洞, 网络安全, 逆向工具, 隐私保护, 零日漏洞, 黑客技术