导语:拿到一个低权限Shell后,最关键的一步就是提权。GitHub近期上榜工具lpe-toolkit集成了24个Linux提权漏洞,支持7种CPU架构,自动过滤已修补的漏洞,适用于红队打点和渗透测试场景。
一、工具概述
lpe-toolkit(Linux Privilege Escalation Toolkit)是由安全研究人员portbuster1337维护的多架构Linux提权工具。
核心特性:
- 24个预置漏洞利用(含CVE和0-day/near-0-day)
- 支持7种CPU架构:amd64、arm64、386、mips、mipsle、mips64、mips64le
- 自动检测目标内核版本,智能过滤已修补的漏洞
- 漏洞按序自动尝试,直到成功拿到root Shell
- amd64架构提供预编译二进制文件,部署到目标后无需gcc
- 支持干跑模式(–dry-run)、指定跳过漏洞(–skip)、静默模式(-q)
二、支持的漏洞列表
| 编号 | 漏洞名称 | 类型 | 备注 |
|---|---|---|---|
| 1 | Copy Fail CVE-2026-31431 | AF_ALG + splice page-cache write | 预编译 |
| 2 | Dirty Frag CVE-2026-43284 | xfrm-ESP/RxRPC page-cache write | 预编译 |
| 3 | Fragnesia CVE-2026-46300 | espintcp splice page-cache corruption | 预编译 |
| 4 | DirtyDecrypt CVE-2026-31635 | rxgk pagecache write | 预编译 |
| 5 | Fragnesia v2 | skb_segment GRO coalesce | 预编译 |
| 6 | PinTheft | RDS zerocopy + io_uring page-cache overwrite | 预编译 |
| 7 | Dirty Pipe CVE-2022-0847 | /etc/passwd page-cache overwrite | 经典漏洞 |
| 8 | CIFSwitch CVE-2026-46243 | cifs.spnego + NSS namespace confusion | 预编译 |
| 9 | PwnKit CVE-2021-4034 | pkexec environment escape | 经典漏洞 |
| 10 | OverlayFS CVE-2021-3493 | user-ns mount escape | 经典漏洞 |
| 11 | OvFS+FUSE CVE-2023-0386 | FUSE mount escape | 预编译 |
| 12 | Pack2TheRoot CVE-2026-41651 | PackageKit D-Bus race → setuid root | 新增 |
| 13 | Polkit D-Bus CVE-2021-3560 | accounts-daemon race | 经典漏洞 |
| 14 | Docker Socket | writable /var/run/docker.sock | 配置错误 |
| 15 | netfilter OOB CVE-2021-22555 | ip_tables corruption | 预编译 |
| 16 | nft UAF2 CVE-2022-2586 | nftables chain UAF | 预编译 |
| 17 | pidfd race CVE-2026-46333 | ssh-keysign/shadow FD theft | 新增 |
| 18 | CPU Timer Race CVE-2025-38352 | POSIX timer race (PoC) | 预编译 |
| 19 | nft UAF CVE-2024-1086 | Notselwyn multi-file nftables | 预编译 |
| 20 | PEdit COW CVE-2026-46331 | tc-pedit page-cache overwrite su | 预编译 |
| 21 | DirtyClone CVE-2026-43503 | ESP-in-UDP TEE page-cache passwd | 预编译 |
| 22 | Bad Epoll CVE-2026-46242 | epoll close-vs-close race UAF | 预编译 |
| 23 | FUSE OOB CVE-2026-31694 | FUSE readdir cache OOB | 预编译 |
| 24 | GTFOBins | 80+ passwordless sudo techniques | 内置 |
三、核心功能解析
3.1 自动内核版本检测与漏洞过滤
工具启动时自动读取目标内核版本,自动跳过已修补的漏洞。这解决了传统提权工具”挨个试”的痛点,避免触发大量无用告警,也减少了对目标稳定性的干扰。
3.2 预编译二进制:目标无需gcc
amd64架构的漏洞利用均以预编译C二进制文件嵌入Go主程序,部署后直接运行,无需在目标机器上安装gcc等编译工具。这在目标系统精简、缺少开发工具链的情况下尤为实用。
其他架构(arm64/mips等)则在运行时通过目标gcc编译,工具内置了跨平台编译脚本。
3.3 多种运行模式
干跑模式:只显示将使用哪些漏洞,不实际执行,便于事先了解提权路径。
./lpe-toolkit --dry-run
静默拿Shell:不打印过程信息,只输出最终结果。
./lpe-toolkit -q -c "whoami"
指定命令执行:拿到root后执行指定命令并返回输出。
./lpe-toolkit -c "id"
跳过特定漏洞:在已知特定漏洞已被修补时跳过。
./lpe-toolkit --skip "dirtypipe,pwnkit"
四、典型应用场景
4.1 渗透测试 / 授权红队
在拿下低权限Shell后,一键运行lpe-toolkit,自动尝试所有适用的提权路径。GTFOBins模块覆盖80余种sudo配置错误利用,是最实用的辅助模块之一。
4.2 应急响应与主机排查
在事件响应中,如果发现主机已被攻击者植入后门且权限离奇抬高,可以用–dry-run模式分析该机器可能存在的提权路径,辅助判断攻击者使用了哪种漏洞。
4.3 安全研究与漏洞学习
工具源码清晰,每个漏洞均有独立C文件,是学习各类Linux提权技术(page-cache overwrite、namespace escape、D-Bus race等)的实战素材。
五、2026年新增漏洞一览
工具作者持续跟进最新漏洞,2026年新增了多个尚未广泛传播的CVE:
- CVE-2026-41651(Pack2TheRoot):PackageKit D-Bus竞态,直接写入setuid root bash
- CVE-2026-46333(pidfd race):通过ssh-keysign/shadow文件描述符窃取提权
- CVE-2026-46331(PEdit COW):tc-pedit page-cache覆盖su二进制,v5.18~v7.1-rc6
- CVE-2026-43503(DirtyClone):ESP-in-UDP TEE目标污染/etc/passwd,v7.1-rc1~rc4
- CVE-2026-46242(Bad Epoll):epoll close-vs-close竞态UAF
六、使用注意
- 本工具仅限授权安全测试、渗透测试授权项目、应急响应场景使用
- 某些漏洞利用可能触发主机安全告警(HIDS/EDR),生产环境慎用
- 建议先用
--dry-run确认漏洞匹配情况,再执行实际提权 - 部分新CVE漏洞利用针对特定内核版本(工具已做版本比对)
项目地址:https://github.com/portbuster1337/lpe-toolkit














暂无评论内容