busquei as portas do host, vi que havia um es file hospedado com a porta aberta procurei por vulnerabilidades e encontrei o exploit https://www.exploit-db.com/exploits/50070
com isso fiz uma busca pelo arquivo user.txt em sdcard e encontrei a flag de usuário
UPDATE: encontrei o pacote em https://github.com/fs0c131y/ESFileExplorerOpenPortVuln também.