关联漏洞
标题:
MinIO 信息泄露漏洞
(CVE-2023-28432)
描述:MinIO是美国MinIO公司的一款开源的对象存储服务器。该产品支持构建用于机器学习、分析和应用程序数据工作负载的基础架构。 MinIO 存在信息泄露漏洞,该漏洞源于在集群部署中MinIO会返回所有环境变量,导致信息泄露。
描述
MinIO敏感信息泄露漏洞批量扫描poc&exp
介绍
# CVE-2023-28432
MinIO存在信息泄露漏洞,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO
## Fofa指纹
#app="minio"
## 工具利用
python3 minio.py -u http://127.0.0.1:1111 单个url测试
python3 minio.py -f url.txt 批量检测
扫描结束后会在当前目录生成存在漏洞url的vuln.txt
exp:
## 免责声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
文件快照
[4.0K] /data/pocs/54be265697f2534f93411a63464f431808141f05
├── [ 90K] exp.png
├── [2.5K] minio.py
└── [ 708] README.md
0 directories, 3 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。