MadExploits/CVE-2026-46300

GitHub: MadExploits/CVE-2026-46300

CVE-KERNEL 是一个组合多个 Linux 内核 CVE 漏洞实现从非特权用户到 root 本地提权的 Python PoC 工具。

Stars: 1 | Forks: 0

# CVE-KERNEL · Linux 内核 LPE 利用链

Python 3.8+ Linux LPE Exploit Modified By MadExploits

针对 Linux 内核漏洞的多 CVE 本地提权链
通过 xfrm-ESP、RxRPC 或 Fragnesia 页缓存写入实现 uid=1000 → root

## 概述 **CVE-KERNEL** 是一个基于 Python 的本地提权(LPE)工具,它将多个 Linux 内核 CVE 漏洞组合利用,从非特权用户提权至 root。该漏洞利用程序通过内核网络子系统,以页缓存损坏原语为目标。 | CVE | 向量 | 目标 | |-----|--------|--------| | **CVE-2026-43284** | xfrm-ESP | `/usr/bin/su` 二进制文件损坏 | | **CVE-2026-43500** | RxRPC + splice | `/etc/passwd` 页缓存写入 | | **CVE-2026-46300** | Fragnesia (ESP-in-TCP) | 通过 `skb_try_coalesce` 进行页缓存写入 | ## 功能 - **多向量漏洞利用链** — 自动尝试 ESP → RxRPC → Fragnesia - **补丁检测** — 检查 `/usr/bin/su` 或 `/etc/passwd` 是否已被破坏 - **交互式 root shell** — 漏洞利用成功后通过 `su -` 启动 PTY shell - **内核模块验证** — 验证 `esp4`、`esp6`、`rxrpc` 以及 `CONFIG_ESPINTCP` - **User namespace 支持** — 通过非特权命名空间获取 `CAP_NET_RAW` - **美化终端 UI** — 带有 ASCII banner 的彩色输出 ## 预览 ``` ╔══════════════════════════════════════════════════════════╗ ║ ║ ║ Linux Kernel LPE Chains ║ ║ CVE-2026-43284 | CVE-2026-43500 | CVE-2026-46300 ║ ║ ║ ║ Modified By MadExploits ║ ║ ║ ╚══════════════════════════════════════════════════════════╝ [*] Current user: uid=1000 ── Exploit Chain ── [ESP] Attempting to corrupt /usr/bin/su... [+] Namespace created successfully [*] (Full SU corruption requires XFRM SA setup - C only) [RxRPC] Attempting to corrupt /etc/passwd... [*] Current root entry: b'root:x:0:0:root:/root:/bin/b' ── Fragnesia (CVE-2026-46300) ── [Fragnesia] Attempting CVE-2026-46300 exploit... [+] ESP-in-TCP support detected [+] User namespace created (CAP_NET_RAW acquired) ``` ## 环境要求 | 要求 | 描述 | |-------------|-------------| | **操作系统** | Linux (x86_64) | | **Python** | 3.8 或更高版本 | | **权限** | 非特权用户 (uid ≠ 0) | | **内核模块** | `esp4`, `esp6`, `rxrpc` (可加载) | | **内核配置** | `CONFIG_ESPINTCP=y` 或 `=m` | | **User namespaces** | 已启用 (`/proc/sys/kernel/unprivileged_userns_clone`) | ### 加载所需的内核模块 ``` sudo modprobe esp4 sudo modprobe esp6 sudo modprobe rxrpc ``` ### 验证模块是否已加载 ``` lsmod | grep -E 'esp4|esp6|rxrpc' ``` ## 安装说明 ``` git clone https://github.com/MadExploits/CVE-2026-46300.git cd CVE-KERNEL ``` 无外部 Python 依赖 — 仅使用标准库。 ## 运行说明 ``` python3 main.py ``` ### 退出代码 | 代码 | 含义 | |------|---------| | `0` | 漏洞利用成功或已是 root | | `1` | 漏洞利用失败(系统已打补丁或缺少模块) | ## 漏洞利用流程 ``` flowchart TD A[Start] --> B{Already root?} B -->|Yes| C[Spawn root shell] B -->|No| D{Already patched?} D -->|Yes| C D -->|No| E[ESP - CVE-2026-43284] E --> F[RxRPC - CVE-2026-43500] F --> G{Patched?} G -->|Yes| C G -->|No| H[Fragnesia - CVE-2026-46300] H --> I{Patched?} I -->|Yes| C I -->|No| J[Exploit failed] ``` ### 攻击向量 #### ESP — CVE-2026-43284 通过 XFRM Security Association 和 user namespace 隔离破坏 `/usr/bin/su`。需要设置 XFRM netlink socket(完整实现使用 C 语言)。 #### RxRPC — CVE-2026-43500 通过 RxRPC 密钥操作以及 `splice()`/`vmsplice()` 系统调用向 `/etc/passwd` 页缓存写入数据。 #### Fragnesia — CVE-2026-46300 通过 ESP-in-TCP 分段数据包触发 `skb_try_coalesce` 漏洞,实现页缓存写入原语。 ## Python 与 C 实现对比 本仓库提供的是 **Python 概念验证 (PoC)**。完整的漏洞利用需要使用仅在 C 版本中可用的底层系统调用: | 功能 | Python | C | |------------|:------:|:-:| | User namespace 设置 | ✅ | ✅ | | 补丁检测 | ✅ | ✅ | | RAW socket 触发 | ✅ | ✅ | | XFRM netlink socket | ❌ | ✅ | | splice / vmsplice | ❌ | ✅ | | AF_ALG 加密操作 | ❌ | ✅ | | RxRPC 协议处理 | ❌ | ✅ | ## 故障排除 | 问题 | 解决方案 | |-------|----------| | `ESP modules not loaded` | 运行 `sudo modprobe esp4 esp6` | | `ESP-in-TCP not enabled` | 内核缺少 `CONFIG_ESPINTCP` — 请使用其他内核 | | `unshare failed` | 启用 user namespace 或在受支持的发行版上运行 | | `RAW sockets require CAP_NET_RAW` | 确保已启用 user namespace | | 漏洞利用失败 | 系统可能已打补丁 — 请检查内核版本 | ``` # 快速诊断 lsmod | grep -E 'esp4|esp6|rxrpc' grep ESPINTCP /boot/config-$(uname -r) cat /proc/sys/kernel/unprivileged_userns_clone ``` ## 项目结构 ``` CVE-KERNEL/ ├── main.py # Main exploit script (Python PoC) └── README.md # Documentation ``` ## 免责声明 此工具仅严格用于**教育目的**、**安全研究**以及在您拥有或获得明确书面授权进行测试的系统上进行**授权的渗透测试**。 - 未经授权访问计算机系统是**违法的** - 作者和贡献者对任何误用或损坏**概不负责** - 始终遵守您所在司法管辖区适用的法律和法规 - 仅在隔离的实验室环境或获得适当授权的情况下使用 ## 许可证 本项目发布用于教育和研究目的。使用风险自负。

Modified By MadExploits · Linux Kernel LPE Research

标签:CSV导出, Linux内核, Python, Web报告查看器, 安全渗透, 无后门, 本地提权, 网络安全, 逆向工具, 隐私保护