minio反弹shell
admin
2024-03-12 17:30:48
0

minio反弹shell漏洞分析:MinIO 组件中 LoginSTS 接口其实是 AWS STS 登录接口的一个代理,用于将发送到 JsonRPC 的请求转变成 STS 的方式转发给本地的 9000 端口。
由于逻辑设计不当,MinIO 会将用户发送的 HTTP 头 Host 中获取到地址作为 URL 的 Host 来构造新的 URL,但由于请求头是用户可控的,所以可以构造任意的 Host,最终导致存在 SSRF 漏洞。
minio反弹shell漏洞进一步利用(反弹shell)
1、添加一个 DockerFile 通过 API 来进行创建容器

2、接管MinIO,反弹shell,控制靶机 --成功

备注:进一步利用需要vps起一个web服务(建议使用云宝塔搭建lamp),供靶机请求vps的index.php,再通过 Docker API 去 build 获取 80 端口下面的 DockerFile。
index.php及Dockerfile文件payload本文未附加

下面贴下英文内容:

MinIO is a High Performance Object Storage released under GNU Affero General Public License v3.0. It is API compatible with Amazon S3 cloud storage service. Use MinIO to build high performance infrastructure for machine learning, analytics and application data workloads.

This README provides quickstart instructions on running MinIO on bare metal hardware,

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇:取证基础——MongoDB数据库基础

下一篇:Pythonmock基本使用

相关内容

热门资讯

说一说长大以后要做什么简单说明... 说一说长大以后要做什么简单说明一下道理,不少于一百字?长大了当一名自由画者,去到世界各地,画出各个地...
三尸语凌降回来了吗 三尸语凌降回来了吗《三尸语》凌降回来了吗《三尸语2》凌降回来了。《三尸语》为网络作者“洛小阳”所著灵...
满地月光似海洋结局他们在一起了... 满地月光似海洋结局他们在一起了吗满地月光似海洋结局他们在一起了,这是一言情小说。
彩虹岛里各个宝箱有什么用 彩虹岛里各个宝箱有什么用可以开出各类宝物如果你人品不是超高我的建议最好不开除了蛇龙那些目前蛇龙的和椴...
什么叫民间故事 什么叫民间故事 民间故事就是劳动人民创作并传播的、具有虚构内容的散文形式的口头文学作品,是所有民...
玉兔有怎样的传说? 玉兔有怎样的传说?兔子是中秋节的又一标志。相传居于月宫的嫦娥,怀中抱有一只兔子,浑身洁白如玉,故称作...
都江堰离堆公园里面那棵著名的树... 都江堰离堆公园里面那棵著名的树``有一次在景区玩耍 听到导游介绍过这树 、好象很有来头``还分什...
丁香花是什么颜色的? 丁香花是什么颜色的?丁香花有白色,紫色, 紫红色。蓝 紫色。 白色和紫色比较多。你好,很乐意为你解答...
年轻人应该看些什么样类型的书? 年轻人应该看些什么样类型的书?多看些成功励志的、还有就是、培养你的各方面的一些书、记录那些名人是如何...
天龙八部慕容停48级 天龙八部慕容停48级血4W,我看到过个49慕容状元就是这个配置有4W+左右的血,400左右玄,如果你...
长沙有招聘美术老师的么? 长沙有招聘美术老师的么?我以前带过高考班~现在毕业一年多了~~6月在即 不准备宅在家了 找个工作~~...
佛祖与蜘蛛的对话 佛祖与蜘蛛的对话南无阿弥陀佛
信阳:“清凉经济”升温 激活夏... 持续的高温天气,让避暑旅居成为新时尚。信阳依托当地生态资源,因地制宜发展特色避暑游,不断激发消费潜力...
疯狂星期六,“免费奶茶”爆了!... 修正一周之后,新一轮的“外卖补贴大战”在本周末重燃战火。 社交媒体上充斥着低价甚至免单的咖啡奶茶订单...
外卖补贴大战重启 “免费奶茶”... 《科创板日报》7月12日讯今日,美团、淘宝闪购等平台再次分别发放外卖大额券,且集中在咖啡茶饮品牌,“...
黄杨树下“00后”干起了“大买... 吉林招募的首批“西部计划”志愿者来到边疆已快一年。图们江畔的黄杨树下,一群没有工作经验的“00后”,...
原创 幽... 1、新手裱花师的奇幻首秀 店里新来了个学徒小宇,第一天学裱花,戴着手套的手紧张得直抖。师傅让他先练挤...
跟朋友一起吃北京传统小吃门钉肉... 跟朋友一起吃北京传统小吃门钉肉饼,皮薄馅大多汁、一口一个真爽。
原创 麻... 材料准备 宽粉 200克 芝麻酱 2大勺 生抽 1大勺 香醋 1小勺 蒜末 1茶匙 小葱 适量 辣椒...
黑管 有叫什么? 黑管 有叫什么?clarinet 单簧管