MinIO对象存储特征及漏洞复现

MinIO是一个开源对象存储系统。

Web特征

主要默认端口有两个：9000（API端口）和9001（管理界面）

该产品存在默认icon：

其中，页面标题（Title）包含"MinIO" 、HTML正文（Body）包含独特路径 ：/minio/health/live、/minio/prometheus/metrics

fofa语法：port="9000" && title="MinIO"、title="MinIO"、body="/minio/health/live"、body="/minio/prometheus/metrics"

漏洞复现

CVE-2023-28432（信息泄露）

在其RELEASE.2023-03-20T20-16-18Z版本（不含）以前，集群模式部署下存在一处信息泄露漏洞，攻击者可以通过发送一个POST数据包获取进程所有的环境变量，其中就包含账号密码MINIO_ROOT_USER和MINIO_ROOT_PASSWORD。

fofa语法：title="MinIO Browser" || banner="MinIO" || header="MinIO"

复现示例

此漏洞存在于API节点http://target-ip:9000/minio/bootstrap/v1/verify上，通过hackbar构造空post包：

可见，其中包含MINIO_ROOT_USER和MINIO_ROOT_PASSWORD。使用这个账号密码，即可成功登录管理后台：