由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
昨天下午四点左右,爆出MinIo信息泄露漏洞,具体如下
首先我们了解一下MinIo
MinIO 是一种开源对象存储服务,与 Amazon S3 API 兼容,可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统,可以存储大量数据,并提供高速的数据读写能力。MinIO采用分布式架构,可以在多个节点上运行,实现数据的分布式存储和处理。
其实就是个未授权访问
在集群部署中,MinIO返回所有环境变量,包括MinIO_SSECRET_KEY
以及MINIO_ROOT_PASSWORD,导致信息泄露。
poc
| POST /minio/bootstrap/v1/verify HTTP/1.1 |
Goby红队版新增漏洞验证,使用Goby漏扫可以快速验证
链接
https://github.com/gobysec/CVE-2023-28432
比较骚的是,使用ChatGPT差点构造出来,太狠了....
福利阶段
为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,小礼物等等,欢迎各位师傅进群交流。(由于1群人数已达上限,现在开通2群)
由于LK的安全小密圈群聊人数已满200人,扫码进不了的师傅可以添加机器人secbot回复LK安全即可加入群聊
关于知识星球
欢 迎 加 入 星 球 !
原文始发于微信公众号(LK安全):漏洞速递!!!MinIO信息泄露漏洞(CVE-2023-28432)文末附poc
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论