内核漏洞利用新方法:利用AF_ALG绕过modprobe_path补丁
2025-03-19
一篇安全研究博客文章介绍了一种利用覆盖modprobe_path技术的新方法,绕过了去年合并到Upstream内核中的补丁。该补丁阻止了通过执行虚拟文件触发modprobe_path。文章介绍了利用AF_ALG套接字,通过调用bind()函数触发request_module(),从而仍然可以执行modprobe_path指向的文件,实现提权。结合lau的memfd_create()技术,该方法实现了完全无文件提权,降低了被安全软件检测的可能性。目前该补丁尚未回滚到稳定版内核,因此旧方法仍然有效,但未来AF_ALG方法将成为关键。