news 2026/7/1 20:44:42

AppArmor 受限 Shell 环境绕过技术分析:利用动态链接器路径差异实现 Profile 逃逸

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
AppArmor 受限 Shell 环境绕过技术分析:利用动态链接器路径差异实现 Profile 逃逸

引言

AppArmor 通过路径为基础的强制访问控制策略,对进程行为进行精细限制。在受限 shell 场景中,常将用户登录 shell 强制设置为轻量级解释器(如 BusyBox ash),并为其加载专用 profile,以阻止切换至功能更强的 shell 或访问敏感目录。

在打 HMV 靶机 Publisher 时,我遇到了一个 AppArmor 限制 ,并找到了一种有效的绕过方法:当 profile 对常规可执行路径(如/bin//usr/bin/)施加权限继承约束时,可通过动态链接器所在路径(通常为/lib//lib64/)的规则差异,手动加载目标 shell,实现 profile 逃逸。

受限 Profile 剖析

目标 profile 针对/usr/sbin/ash制定,内容如下:

#include <tunables/global> /usr/sbin/ash flags=(complain) { #include <abstractions/base> #include <abstractions/bash> #include <abstractions/consoles> #include <abstractions/nameservice> #include <abstractions/user-tmp> deny /opt/ r, deny /opt/** rwx, /usr/bin/** mrix, /usr/sbin/** mrix, owner /home/** rwix, }

关键约束分析:

  1. 明确拒绝敏感路径
    deny /opt/ r,deny /opt/** rwx,两条规则无条件禁止对/opt及其下所有路径的读、写、执行操作。即使 profile 整体处于 complain 模式(*在此模式下,违反 allow 规则的访问仅会被记录日志,但不会被阻塞),deny 规则仍强制生效,导致进程即使进入该目录也无法读取内容。

  2. 子进程权限继承
    /usr/bin/**/usr/sbin/**使用mrix规则,其中x无修饰符,等价于ix(inherit execute)。这意味着从当前受限 ash 直接执行这些路径下的任何程序时,子进程将完全继承父进程的 AppArmor profile,继续受到相同 deny 规则约束。

    注意:该 profile 虽未对/bin/路径显式定义规则,但/bin是指向usr/bin的软链接,这意味着直接执行/bin/bash仍受到上述限制。

绕过原理:动态链接器路径规则差异

现代 Linux 系统中,几乎所有用户态动态链接二进制文件的 ELF 头部均包含 INTERP 段,指定动态链接器路径(如/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2)。

当直接执行一个动态链接二进制文件时,内核实际执行流程为:

动态链接器路径 + 目标二进制路径

即内核会调用/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 /bin/bash

AppArmor 在判断执行过渡时,以被执行文件的路径规则为准。在本 profile 中:

  • /bin//usr/bin//usr/sbin/等常规可执行路径被显式设置为mrix(继承执行)。
  • 但动态链接器所在路径/lib/x86_64-linux-gnu/通常仅受 abstractions/base 等基础规则覆盖,未被施加同样的继承约束。
  • 因此,当手动以动态链接器作为入口执行目标程序时:
/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 /bin/bash

AppArmor 将根据动态链接器自身的执行规则进行 profile 过渡。由于该路径未被强制设置为继承模式,新启动的 bash 进程获得的是其自身默认 profile(通常为宽松标准 profile 或 unconfined),而非原 ash 的严格 profile。

结果:

  • 新 bash 进程不再受deny /opt/** rwx约束。
  • 可正常读取并操作此前被禁止的/opt目录内容。
绕过成功的关键条件

该技术成立的前提包括:

  1. profile 对常规可执行目录施加继承模式(如/usr/bin/** mrix),导致直接启动受限。
  2. 动态链接器路径未被同等约束(常见于手工或模板生成的受限 profile,未显式添加/lib/**/{ld-*} mrix)。
  3. 目标二进制为动态链接(静态编译的 bash 极少见,几乎所有发行版默认均为动态链接)。

加固建议

为阻断该绕过向量,profile 需补充以下规则:

# 强制动态链接器继承当前 profile /lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 mrix, /lib64/ld-linux-x86-64.so.2 mrix, # 更全面覆盖可能路径 /{,usr/}lib{,32,64}/**/{ld*,ld-linux*} mrix,

同时建议为常用 shell(如/bin/bash/usr/bin/bash)单独编写严格子 profile,避免默认过渡至宽松上下文。

结论

当 AppArmor profile 对常规可执行路径(如/bin//usr/bin/)实施权限继承约束时,通过动态链接器所在的不受同等限制的路径(如/lib/)手动加载目标 shell,可成功实现 profile 逃逸。该技术本质上利用了规则覆盖范围的差异:常规路径被严格继承控制,而动态链接器路径往往遗漏相应约束。

此绕过方式简洁高效,在安全策略配置不完备的环境中普遍有效,凸显了 AppArmor profile 设计中路径规则完整性和一致性的重要性。在实际加固实践中,必须对所有可能的执行入口(包括解释器和链接器)进行统一约束,方能构建坚固的防御边界。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/24 9:31:50

MOSFET基本工作原理:SPICE仿真实验完整指南

MOSFET工作原理解密&#xff1a;从零搭建SPICE仿真实验 你有没有过这样的经历&#xff1f; 在模电课本上看了十遍MOSFET的I-V曲线&#xff0c;可一到仿真软件里画电路&#xff0c;却发现电流怎么都不对劲——明明 $ V_{GS} > V_{th} $&#xff0c;漏极电流却像被“卡住”了…

作者头像 李华
网站建设 2026/7/1 19:06:46

垃圾分类督导机器人搭载GLM-4.6V-Flash-WEB视觉模块

垃圾分类督导机器人搭载GLM-4.6V-Flash-WEB视觉模块 在城市社区的清晨&#xff0c;一位居民提着一袋混杂着剩饭、塑料瓶和旧纸箱的垃圾走向智能回收站。他并未翻找分类指南&#xff0c;只是将袋子放在投放区——几秒后&#xff0c;一台立式机器人亮起指示灯&#xff1a;“餐厨垃…

作者头像 李华
网站建设 2026/6/26 17:10:18

1小时用Vue-PDF-Embed打造产品原型

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容&#xff1a; 快速开发一个电子书阅读器原型&#xff0c;功能包括&#xff1a;1.书籍封面展示 2.使用vue-pdf-embed阅读内容 3.简易书签功能 4.夜间模式切换 5.响应式布局。使用Mock数据&#x…

作者头像 李华
网站建设 2026/6/26 17:11:46

Rust入门指南:30天从新手到项目实战

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容&#xff1a; 设计一个面向初学者的Rust学习项目&#xff1a;1) 基础语法练习&#xff0c;2) 所有权系统可视化解释&#xff0c;3) 简单命令行工具开发。要求&#xff1a;1) 分步指导&#xff0…

作者头像 李华
网站建设 2026/6/30 17:13:25

AI如何帮你一键切换NPM国内源?快马平台实战

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容&#xff1a; 创建一个Node.js脚本&#xff0c;自动检测当前NPM源并智能切换为淘宝镜像源。要求包含以下功能&#xff1a;1.自动检测当前registry配置 2.提供淘宝源、腾讯云源等国内常用源选项 …

作者头像 李华
网站建设 2026/6/25 20:10:25

COMFUI vs 传统开发:效率对比分析

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容&#xff1a; 创建一个效率对比工具&#xff0c;能够记录和比较使用COMFUI和传统方法完成同一任务的时间和代码量。要求生成可视化报告&#xff0c;展示效率提升的具体数据。点击项目生成按钮&a…

作者头像 李华