提权验证一键搞定:全面集成的内核漏洞测试工具RootHawkX

admin 2026-07-01 05:55:47 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: RootHawkX是一款集成多个Linux提权漏洞的测试工具,在原版基础上新增了CVE-2026-46300等近期高危漏洞,包含11个内核提权与应用层模块。工具提供-list查看漏洞清单、-e指定漏洞执行、-any盲测等操作方式,支持ssh密钥泄露的两种目标模式。通过关注公众号获取下载地址,适用于授权渗透测试场景。 综合评分: 75 文章分类: 渗透测试,红队,安全工具,漏洞分析,内网渗透


cover_image

提权验证一键搞定:全面集成的内核漏洞测试工具 RootHawkX

原创

s0cke3t s0cke3t

警戒线安全

2026年6月30日 15:36 山东

在小说阅读器读本章

去阅读

前言

在执行授权渗透测试或红队评估时,提权 PoC 的碎片化往往让人头疼。手头的测试脚本五花八门,而且很多 C 语言编写的底层漏洞由于机制限制,必须在目标机器上现场编译。面对不同的系统,手动解决编译依赖会消耗大量时间。

为了让提权验证更加顺畅,我们在原版 RootHawk 的基础上开发了 RootHawkX。在原工具的基础上我们重点补充了近期爆发的多个 Linux 高危提权漏洞(如 CVE-2026-46300(Fragnesia)、CVE-2026-43503(DirtyClone)、CVE-2026-46331(COW)、CVE-2026-43494(PinTheft)以及一个ssh信息泄露漏洞(CVE-2026-46333)),并将它们与经典的提权模块统一整合。

模块清单

目前我们在工具中统一集成了 11 个热门的 Linux 提权漏洞,覆盖了近几年的高频内核态与应用层缺陷。

内核提权模块:

  • Copy Fail (CVE-2026-31431):该漏洞涉及 crypto 子系统中 AF_ALG 与 algif_aead 的逻辑缺陷。利用此缺陷,本地普通用户可以非法提升权限。
  • Dirty Frag (CVE-2026-43284):主要利用了内核网络数据包处理路径中的缺陷,包括 xfrm/esp 模块以及 shared skb frags 的处理问题。
  • DirtyClone (CVE-2026-43503):通过 net/skbuff 的共享分片克隆机制缺陷来实现提权。
  • Fragnesia (CVE-2026-46300):针对 XFRM ESP-in-TCP 子系统中的逻辑 Bug 进行利用。代码会通过 page cache 直接覆写 /usr/bin/su 等文件来获取 Root 权限。
  • COW / Pedit (CVE-2026-46331):利用 net/sched 下 act_pedit 模块的缺陷,覆写内核中的脏数据。
  • PinTheft (CVE-2026-43494):结合了 RDS 协议的零拷贝 double-free 缺陷,以及 io_uring 的 page cache overwrite 技术,直接篡改目标系统的 SUID 二进制文件。
  • DirtyDecrypt (dirtydecrypt):利用 rxgk_decrypt_skb() 函数缺少 COW (Copy-On-Write) 保护的问题,导致 page cache 被恶意写入。

信息泄露与应用层模块:

  • ssh-keysign-pwn (CVE-2026-46333):内核在进程退出路径中存在竞态条件,从而引发敏感信息泄露。
  • PwnKit (CVE-2021-4034):Polkit 的 pkexec 工具在处理命令行参数时存在越界写入缺陷。利用此缺陷,攻击者可通过特定环境变量将恶意代码注入执行流,直接获取最高权限。
  • Polkit 权限绕过 (CVE-2021-3560):漏洞源于 Polkit 处理 D-Bus 请求时的逻辑缺陷。攻击者可以在请求中途主动断开连接,利用系统的错误处理机制绕过身份验证。
  • Dirty Pipe (CVE-2022-0847):Linux 内核管道(Pipe)机制在处理页面缓存(Page Cache)标志时存在校验漏洞。普通用户可借此跨越权限边界,向系统中的任意只读文件(例如 /etc/passwd)写入数据。

示例

将二进制文件传到目标机器后,直接使用 -list 命令即可查看支持的漏洞清单。

如果已经确定目标系统的内核版本及对应漏洞,用 -e 参数指定 CVE 编号或漏洞别名即可触发。例如: /roothawkx_linux_amd64 -e CVE-2026-46331

或者使用别名

./roothawkx_linux_amd64 -e dirtyclone

遇到不确定漏洞情况的盲测场景,可以直接附加 -any 参数。工具会按照内置的漏洞列表依次执行利用尝试。

针对 ssh-keysign-pwn 漏洞,工具提供了 -target shadow(读取哈希)和 -target key(窃取私钥)两种运行模式,可以根据任务需求灵活切换。

./roothawkx_linux_amd64 -e keysign

./roothawkx_linux_amd64 -e keysign -target shadow

致谢

RootHawkX 并非从零构建,它的诞生离不开开源社区里许多白帽子的无私分享。以下是我们在开发过程中重点借鉴的开源项目和漏洞 PoC 来源:

  • RootHawk (RoadBicycle-C):这是本项目最初始的基础框架,为后续模块的接入打下了底子。
  • v12-security:该团队开源的 PoC 仓库为我们提供了 Fragnesia、PinTheft 以及 DirtyDecrypt 等漏洞的核心利用代码。
  • 0xBlackash:公开分享了 CVE-2026-46331 (COW)、CVE-2026-43503 (DirtyClone) 以及 CVE-2026-46333 (ssh-keysign-pwn) 的分析与利用代码。

下载

关注公众号警戒线安全后台回复20260630获取仓库地址 如果你在使用中遇到了问题亦或是有新的想法欢迎提交issue


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:警戒线安全 s0cke3t s0cke3t《提权验证一键搞定:全面集成的内核漏洞测试工具 RootHawkX》

    AI安全知识库正式开放了 网络安全文章

    AI安全知识库正式开放了

    文章总结: 蓝星安全公众号宣布正式开放AI安全知识库,提供从基础概念到实战案例的系统化学习资源,涵盖AI身份安全、应用安全、模型安全等领域,包含培训课件、工具手
    评论:0   参与:  0