Sec Hotspot 首页  友情链接  收藏本站  技术博客  RSS
统计信息
已收录文章数量:13935 篇
已收录公众号数量:68 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
分享图片   2021.04.14 16:51:17  312
Chrome V8 RCE 0day之WeChatWeb   2021.04.17 16:40:17  131
面试官常考的 21 条 Linux 命令   2021.04.12 08:00:59  109
Windows手工入侵排查思路   2021.04.13 08:00:49  93
近期CNVD重大漏洞汇总   2021.04.15 18:20:29  70
MongoDB高分辨率扫描器:NoSQLAttack
本文来自公众号:黑白之道   2020.05.28 09:15:03


介绍
NoSQLAttack是一个开源Python工具,可通过MongoDB默认配置弱点和注入攻击自动在Internet上公开MongoDB服务器IP并公开数据库数据。目前,该项目专注于MongoDB。

一些攻击测试基于以下论文并对其进行扩展

Diglossia:精确高效地检测代码注入攻击
没有SQL,没有注入?
数千个没有Internet访问控制的MongoDB。
此项目中有两种测试NoSQL注入的系统-NoSQLInjectionAttackDemo。

背景
NoSQL注入攻击,例如php数组注入,javascript注入和mongo shell注入,危害mongoDB。互联网上公开了成千上万的mongoDB,黑客可以从公开的mongoDB下载数据。

要求
在基于Debian或Red Hat的系统上,NoSQLAttack的依赖项已被写入setup.py中。该项目基于Pycharm社区2016.1和python 2.7.10构建。

因使用的功能而异:

Shodan 1.5.3
httplib2-0.9
Python-2.7
pymongo-2.7.2
要求2.5.0
ipcalc-1.1.3
MongoDB
建造
在Linux上,它是这样的:

cd NoSQLAttack
python setup.py安装

提示
如果输入“ python setup.py install”后,终端显示错误信息“ No module named setuptools”,则只需安装setuptools。在Ubuntu上,“ sudo apt-get install python-setuptools”,此命令很有用
安装MongoDB for MongoDB默认配置攻击。

用法
构建后,您可以像这样运行NoSQLAttack:

NoSQL攻击
启动NoSQLAttack后,将显示主菜单:

===============================================
_ _ _____ _____ _
|  \ |  |      / ___ ||   _   |  |
|   \ |  | ___ \ ` - |  |  |  |  |
| 。` | / _ \ ` -。\ | | | | | | | \ | (_)/ \ _ _ / / \ \ / ' / | ____                  \ _ | \ _ / \ ___ / \ ____ / \ _ / \ _ \ _____ /                                                           _

/ \ _ _ | | _
/ \ _ || | _ _ | | _____ ___ | | / /
/ / \ \ | _ _ || _ _ || / __ \ / __ | | | / /
/ /-\ \ | | _ | | _ | | _ | | | | __ | | \ \
/ /--\ \ \ ___ \ \ ___ \ \ ______ \ \ ___ | | | \ _ \
===============================================
NoSQLAttack-v0.2
sunxiuyang04@gmail.com

1-扫描攻击的IP
2-配置参数
3-MongoDB访问攻击
4-注入攻击
x-Exit

影片
适用于MongoDB的NoSQLAttack演示。

(1)默认配置Attacks演示

(2)injection攻击演示

文章来源:

https://github.com/youngyangyang04/NoSQLAttack


推荐文章++++

* AD工作室精心研发漏洞安全扫描器

* ctf-wscan 一款为ctf而生的web扫描器

* Nikto-网络服务器扫描仪