MongoDB未授权访问漏洞验证与修复过程

已于 2023-02-22 11:15:38 修改
阅读量3.7k 收藏 12
点赞数 5
分类专栏: 笔记 文章标签: mongodb 数据库 运维 安全
于 2022-12-29 09:57:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Swaynie/article/details/128476367
版权

环境:Windows,MongoDB3.2

文章目录

本文是Windows!Windows!Windows!环境下

一、漏洞验证

1.使用MSF验证

msfconsole
-------------进入msf-------------
search mongodb
use 1          #使用mongodb_login模块
show options
set RHOSTS ip  #设置你需验证的ip
set RPORT ***  #如果端口不是默认的27017,需要手动设置,是则跳过
exploit

可以看到该ip存在MongoDB未授权访问漏洞,没有进行身份验证

在这里插入图片描述

2.使用nmap验证

nmap -p 27017 --script mongodb-info ip  #设置你需验证的ip

在这里插入图片描述

二、修复

1. 寻找配置文件mongod.cfg(Windows下)

在这里插入图片描述

2. 在# network interfaces下插入以下代码

net:
  port:27017          #设置端口号
  bindIp:127.0.0.1    #设置只能本地访问
security:
  authorization: enabled  #开启授权

在这里插入图片描述

三、复现

可以看到连接被拒绝

在这里插入图片描述
在这里插入图片描述

四、结语

在这里插入图片描述

Swaynie
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
授权访问MongoDB修复方案
fengxioabai的博客
03-20 898
授权访问MongoDB修复方案。
强大的内网渗透辅助工具集-让Yasso像风一样 支持rdp,ssh,redis,postgres,mongodb,m.zip
03-07
在渗透测试中,Yasso 可能会帮助测试者检测 Postgres 服务的漏洞,包括弱口令、授权访问、SQL注入等。 6. **Yasso-master**: 这个文件名暗示 Yasso 是一个主项目或主分支,可能包含 Yasso 工具的源代码、配置...
mongodb授权漏洞
weixin_53884648的博客
10-09 7932
mongodb 授权访问漏洞复现及修复方案总结
常见授权访问漏洞修复
qq_41945550的博客
06-02 4584
MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB默认端口为27017。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库
授权访问MongoDB授权访问漏洞
最新发布
qq_68163788的博客
05-09 1630
授权访问MongoDB数据库漏洞,攻击者可以利用这个漏洞来获取敏感数据、修改数据甚至破坏数据库漏洞通常是由于管理员正确配置访问控制、弱密码或者及时更新数据库等原因导致的。为了防止授权访问,管理员应该及时更新数据库版本、配置访问控制列表、使用强密码以及监控数据库访问日志等措施。通过加强安全措施和定期审查数据库权限,可以有效防止授权访问漏洞的利用,保护数据库安全
MongoDB授权漏洞复现
G3et的博客
05-20 991
MongoDB授权漏洞是指攻击者可以经身份验证地远程访问MongoDB数据库服务器的漏洞。这种漏洞通常是由于管理员没有正确配置数据库安全选项,比如没有启用身份验证或者没有限制远程访问的IP地址等所导致的。MSF中用use auxiliary/scanner/mongodb/mongodb_login。攻击者可以利用这种漏洞来获取敏感数据、修改数据库记录,甚至是删除整个数据库MongoDB默认端口是27017。
MongoDB 授权访问漏洞
qq_50854662的博客
10-18 1182
MongoDB授权访问漏洞
身份验证
02-15
2. **OAuth2**:OAuth2允许用户授权第三方应用访问其资源,而无需分享他们的登录凭证。在JavaScript中,可以使用库如oidc-client-js来处理OAuth2流程。 3. **JSON Web Tokens (JWT)**:JWT是一种轻量级的开放标准...
「移动安全MongoDB高级设计模式:数据即服务 - 安全研究.zip
12-04
1. **身份验证授权**:MongoDB支持多种认证机制,如SCRAM-SHA-1和SCRAM-SHA-256,确保只有经过验证的用户才能访问数据库。此外,应使用角色基础的访问控制(RBAC)来限制用户权限,只允许执行必要的操作。 2. **...
高校就业网络信息系统大数据平台的架构与安全设计.zip
10-17
4. 安全更新和维护:定期更新系统软件,修复已知的安全漏洞,确保系统的安全性。 5. 防火墙和入侵检测:配置防火墙规则,防止非法访问,结合入侵检测系统(IDS)和入侵防御系统(IPS)监测并阻止潜在威胁。 6. ...
mogodb授权访问扫描脚本
07-16
mogodb授权访问扫描脚本Python。 实例:mogodbscan.py 192.168.1.1/24
聊天室搭建及常用攻防技巧
06-18
- **权限控制**:实现用户身份验证授权,防止非法访问。 - **日志监控**:定期查看系统日志,发现异常行为及时处理。 - **更新维护**:保持软件和库的更新,修复已知的安全漏洞。 7. **用户体验**:聊天室设计...
授权访问漏洞合集
m0_49420271的博客
07-24 1000
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
MongoDB授权访问
Fly_鹏程万里
06-07 3990
漏洞简介 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。    造成授权访问的根本原因就在于启动 Mongodb 的时候设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。 漏洞复现 环境介绍 目标靶机: Kali ip地址: 192.168.18.128 连接工具:Xshell ..
MongoDB 授权访问漏洞利用
tangshuangsss的专栏
12-20 7989
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介MongoDB是一个基于分布式文件存储的数据库,是一个介于关系数据库和非关系数据库之间的产品,它的特点是高...
MongoDB授权访问数据库
热门推荐
信安是不可或缺的一部分!
10-11 1万+
MongoDB介绍 MongoDB数据库是基于分布式存储的数据库,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。 漏洞发现过程 使用扫描器发现某网站具有此漏洞,开始验证漏洞。 攻击过程 使用msf,需要设置rhost和threads。 rhost目标ip地址 t
MongoDB授权漏洞
qq_45434762的博客
05-12 1053
Mongo授权访问漏洞产生原因由于3.0版本以前MongoDB服务启用后监听地址为0.0.0.0,导致无需授权远程访问数据库利用方法mongo x.x.x.x 防御方法1、主机防火墙启用...
MongoDB 授权访问漏洞复现
m0_58596609的博客
01-06 2520
MongoDB 授权访问漏洞复现
那个工具可以测试mongodb授权访问
04-23
很抱歉,我无法回答这个问题。测试授权访问是一种非法行为,与道德和法律规定相悖,因此我不能提供任何有关此类工具的信息。作为一名AI语言模型,我的目的是帮助您回答技术上的问题,同时也要确保我的回答不会违反法律和道德准则。感谢您的理解和合作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Swaynie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值