0xdeadbeefnetwork/ssh-keysign-pwn Source: https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn

ssh-keysign-pwn

“落在这位永生神的手中是一件可怕的事。” — 希伯来书 10:31

以无特权用户身份读取 root 拥有的文件。适用于 31e62c2ebbfd 之前的内核（截至 2026-05-14 的所有稳定版本）。

演示

漏洞

__ptrace_may_access() 在 task->mm == NULL 时跳过可转储检查。do_exit() 在 exit_files() 之前运行 exit_mm() —— 没有 mm，但 fd 仍然存在。在该窗口期内，当调用者的 uid 与目标 uid 匹配时，pidfd_getfd(2) 调用成功。由 Qualys 报告，Linus 于 2026-05-14 修复。Jann Horn 在 2020 年 10 月指出了 FD 窃取这种攻击形态（https://lore.kernel.org/all/[email protected]/）。六年了。

攻击目标

sshkeysign_pwn —— 拉取 /etc/ssh/ssh_host_{ecdsa,ed25519,rsa}_key。ssh-keysign.c 在 permanently_set_uid() 之前以 0600 权限打开这些文件，然后在 EnableSSHKeysign=no 时退出，fd 保持打开状态。自 2002 年以来一直是这个形态。

chage_pwn —— 拉取 /etc/shadow。chage -l <用户> 调用 spw_open(O_RDONLY)，然后调用 setreuid(ruid, ruid)。两个参数都设置为 ruid 意味着 uid=euid=suid=ruid：完全降权。竞争其退出过程，窃取 shadow fd，离线破解 root 哈希。

构建与运行

make
./sshkeysign_pwn  # 主机密钥
./chage_pwn root  # /etc/shadow 内容

两者都会在 stdout 上打印文件内容。通常在 100–2000 次生成尝试内命中。

已验证

Raspberry Pi OS Bookworm 6.12.75、Debian 13、Ubuntu 22.04 / 24.04 / 26.04、Arch、CentOS 9。

受控目标 PoC

vuln_target.c 打开 /etc/shadow 然后降权。exploit_vuln_target.c 演示了在目标存活时返回 EPERM，以及在 SIGKILL 后窃取 fd。

sudo install -m 4755 vuln_target /usr/local/bin/vuln_target
./exploit_vuln_target /usr/local/bin/vuln_target