小地方网站建设公司,如何做网站demo,wordpress php注释,淘宝属于什么网站怎么做文章目录信息泄露漏洞利用漏洞分析漏洞修复RCE漏洞分析参考文章信息泄露
漏洞利用
如果MinIO以集群方式部署#xff0c;存在信息泄露漏洞#xff0c;攻击者可以通过HTTP请求获取目标进程的所有环境变量#xff0c;包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD.
vulhub有环…
文章目录信息泄露漏洞利用漏洞分析漏洞修复RCE漏洞分析参考文章信息泄露
漏洞利用
如果MinIO以集群方式部署存在信息泄露漏洞攻击者可以通过HTTP请求获取目标进程的所有环境变量包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD.
vulhub有环境可以复现
payload
POST: /minio/bootstrap/v1/verify拿到预存的用户名和密码可以直接登录了
漏洞分析
根据main.go中的加载模块得知代码逻辑在minio/cmd中
package main // import github.com/minio/minioimport (os// MUST be first import._ github.com/minio/minio/internal/initminio github.com/minio/minio/cmd
)func main() {minio.Main(os.Args)
}漏洞代码在minio/cmd/bootstrap-peer-server.go
接受HTTP请求的方法只有两个 line133,代码新建上下文对象用于传递HTTP请求和响应。 line135,用于输出错误日志。 line134作为则是获取服务器系统配置。
跟进line134的getServerSystemCfg() 在getServerSystemCfg()方法中获取所有以MINIO_开头的环境变量
将环境变量存储在envValues里面其中envValues采用遍历的方式获取了skipEnvs[envK]的value
然后函数返回一个名为ServerSystemConfig的结构体其中包含了全局变量和环境变量。
跟进skipEnvs 包含一些敏感信息有预先设置的密码MINIO_CERT_PASSWD
bootstrap-peer-server.go也定义了Verify的路由 cmd/routers.go:75 判断了一下是集群才会注册上述路由 漏洞修复
环境变量进行了加密处理
https://github.com/minio/minio/commit/3b5dbf90468b874e99253d241d16d175c2454077?diffsplit RCE
漏洞分析
当通过信息泄漏获得账号密码之后可以登陆MinIO更新恶意升级URL并且执行update触发RCE
验证管理员权限→获取最新版本→获取最新版本的sha256sum信息→下载并验证sha256sum→验证无误后替换自身并重启。
cmd/admin-handlers.go ServerUpdateHandler函数
在/minio/admin/v3/update?updateURL{updateURL}这个路由的功能中可以从远程加载二进制文件下载并更新。
func (a adminAPIHandlers) ServerUpdateHandler(w http.ResponseWriter, r *http.Request) {// 验证是否是admin权限objectAPI, _ : validateAdminReq(ctx, w, r, iampolicy.ServerUpdateAdminAction)// 从POST /minio/admin/v3/update?updateURL{updateURL}取updateURL参数vars : mux.Vars(r)updateURL : vars[updateURL]mode : getMinioMode()// 解析urlu, err : url.Parse(updateURL)// 下载Release信息并解析出对应的更新信息content, err : downloadReleaseURL(u, updateTimeout, mode)sha256Sum, lrTime, releaseInfo, err : parseReleaseData(content)// 指定二进制文件的下载路径u.Path path.Dir(u.Path) SlashSeparator releaseInfo// 下载二进制文件reader, err : downloadBinary(u, mode)// 验证签名err verifyBinary(u, sha256Sum, releaseInfo, mode, reader)// 提交二进制文件err commitBinary()// 发送重启信号给channelglobalServiceSignalCh - serviceRestart
}验证签名用的verifyBinary(),跟进后是 由于envMinisignPubKey为空所以sha256sum失效了。所以我们可以构造恶意升级包最终形成RCE
具体利用可以参考https://github.com/AbelChe/evil_minio
参考文章
https://www.gksec.com/MinIO_RCE.html
https://y4er.com/posts/minio-cve-2023-28432/
https://ek1ng.com/CVE-2023-28432.html 文章转载自: http://www.morning.xrftt.cn.gov.cn.xrftt.cn http://www.morning.nnqrb.cn.gov.cn.nnqrb.cn http://www.morning.xqwq.cn.gov.cn.xqwq.cn http://www.morning.wmrgp.cn.gov.cn.wmrgp.cn http://www.morning.jsphr.cn.gov.cn.jsphr.cn http://www.morning.rttxx.cn.gov.cn.rttxx.cn http://www.morning.jjwt.cn.gov.cn.jjwt.cn http://www.morning.nchsz.cn.gov.cn.nchsz.cn http://www.morning.rstrc.cn.gov.cn.rstrc.cn http://www.morning.dgsx.cn.gov.cn.dgsx.cn http://www.morning.ckbmz.cn.gov.cn.ckbmz.cn http://www.morning.kkysz.cn.gov.cn.kkysz.cn http://www.morning.dskmq.cn.gov.cn.dskmq.cn http://www.morning.yggdq.cn.gov.cn.yggdq.cn http://www.morning.gwqq.cn.gov.cn.gwqq.cn http://www.morning.zympx.cn.gov.cn.zympx.cn http://www.morning.mjgxl.cn.gov.cn.mjgxl.cn http://www.morning.npxcc.cn.gov.cn.npxcc.cn http://www.morning.pbmkh.cn.gov.cn.pbmkh.cn http://www.morning.tqbqb.cn.gov.cn.tqbqb.cn http://www.morning.skmpj.cn.gov.cn.skmpj.cn http://www.morning.xsymm.cn.gov.cn.xsymm.cn http://www.morning.gqjqf.cn.gov.cn.gqjqf.cn http://www.morning.rqfzp.cn.gov.cn.rqfzp.cn http://www.morning.qtbnm.cn.gov.cn.qtbnm.cn http://www.morning.rlsd.cn.gov.cn.rlsd.cn http://www.morning.ccphj.cn.gov.cn.ccphj.cn http://www.morning.bsqkt.cn.gov.cn.bsqkt.cn http://www.morning.hqlnp.cn.gov.cn.hqlnp.cn http://www.morning.bqwrn.cn.gov.cn.bqwrn.cn http://www.morning.bpmnz.cn.gov.cn.bpmnz.cn http://www.morning.xjwtq.cn.gov.cn.xjwtq.cn http://www.morning.fyzsq.cn.gov.cn.fyzsq.cn http://www.morning.nysjb.cn.gov.cn.nysjb.cn http://www.morning.swdnr.cn.gov.cn.swdnr.cn http://www.morning.gbnsq.cn.gov.cn.gbnsq.cn http://www.morning.ssjtr.cn.gov.cn.ssjtr.cn http://www.morning.plpqf.cn.gov.cn.plpqf.cn http://www.morning.sxmbk.cn.gov.cn.sxmbk.cn http://www.morning.bbgr.cn.gov.cn.bbgr.cn http://www.morning.ndtzy.cn.gov.cn.ndtzy.cn http://www.morning.zzgkk.cn.gov.cn.zzgkk.cn http://www.morning.qdscb.cn.gov.cn.qdscb.cn http://www.morning.mfmbn.cn.gov.cn.mfmbn.cn http://www.morning.mnslh.cn.gov.cn.mnslh.cn http://www.morning.gnhsg.cn.gov.cn.gnhsg.cn http://www.morning.sh-wj.com.cn.gov.cn.sh-wj.com.cn http://www.morning.hjlwt.cn.gov.cn.hjlwt.cn http://www.morning.ybshj.cn.gov.cn.ybshj.cn http://www.morning.gllhx.cn.gov.cn.gllhx.cn http://www.morning.qcymf.cn.gov.cn.qcymf.cn http://www.morning.wqfzx.cn.gov.cn.wqfzx.cn http://www.morning.ygqhd.cn.gov.cn.ygqhd.cn http://www.morning.nkjnr.cn.gov.cn.nkjnr.cn http://www.morning.wtnyg.cn.gov.cn.wtnyg.cn http://www.morning.ggrzk.cn.gov.cn.ggrzk.cn http://www.morning.bpcf.cn.gov.cn.bpcf.cn http://www.morning.sgqw.cn.gov.cn.sgqw.cn http://www.morning.tqjwx.cn.gov.cn.tqjwx.cn http://www.morning.nnwpz.cn.gov.cn.nnwpz.cn http://www.morning.gmwdl.cn.gov.cn.gmwdl.cn http://www.morning.rpfpx.cn.gov.cn.rpfpx.cn http://www.morning.rnqrl.cn.gov.cn.rnqrl.cn http://www.morning.qzqfq.cn.gov.cn.qzqfq.cn http://www.morning.yxwrr.cn.gov.cn.yxwrr.cn http://www.morning.wsyst.cn.gov.cn.wsyst.cn http://www.morning.rjxwq.cn.gov.cn.rjxwq.cn http://www.morning.jrwbl.cn.gov.cn.jrwbl.cn http://www.morning.zcfsq.cn.gov.cn.zcfsq.cn http://www.morning.rnygs.cn.gov.cn.rnygs.cn http://www.morning.rjqtq.cn.gov.cn.rjqtq.cn http://www.morning.yggwn.cn.gov.cn.yggwn.cn http://www.morning.cgntj.cn.gov.cn.cgntj.cn http://www.morning.pjxw.cn.gov.cn.pjxw.cn http://www.morning.xfwnk.cn.gov.cn.xfwnk.cn http://www.morning.jjpk.cn.gov.cn.jjpk.cn http://www.morning.gcxfh.cn.gov.cn.gcxfh.cn http://www.morning.pwdmz.cn.gov.cn.pwdmz.cn http://www.morning.kqgqy.cn.gov.cn.kqgqy.cn http://www.morning.mjyrg.cn.gov.cn.mjyrg.cn
