Não se trata de uma vulnerabilidade em si, mas sim de uma configuração errada por parte de quem administra o sistema em questão. O intuito aqui não te mostrar uma técnica nova ou algo do tipo, mas simplesmente te explicar o pensamento por trás desta técnica, até porque se você for no site GTFObins e digitar ZIP você encontrará o comando que será explicado aqui.
Se você estiver em um cenário que você verifique, por meio do comando sudo -l, que possui permissão para executar o ZIP com permissão de root sem especificar a senha, você pode elevar seus privilégios, se liga:
ZIP
Usaremos dois parâmetros do binário ZIP: -T e -TT, o -T indica para o ZIP testar se ocorreu tudo certo com o arquivo zipado, checar sua integridade. Já -TT nós permite executar o comando que testaria o a integridade do arquivo, por ex: -TT "'unzip -tqq", seria executado o comando unzip com suas devidas flags (-tqq) para testar se ocorreu tudo certo com o novo arquivo zipado.
Aí que entra a "tática ninja", e se no lugar do "unzip -tqq" colocássemos outro comando? Como por exemplo "sh #"? Se você já pegou a "tática" , sim, é isso mesmo que aconteceria, o ZIP executaria o "sh #" nos dando uma shell root.
Syntax: sudo zip nomeDoArquivoASerZipado arquivoASerZipado -T -TT 'sh #'
Ex: sudo zip privesc /etc/hosts -T -TT 'sh #'
