MongoDB注入:如何攻击MongoDB?

最新推荐文章于 2024-06-16 10:42:21 发布
最新推荐文章于 2024-06-16 10:42:21 发布
阅读量8.2k 收藏 4
点赞数
分类专栏: mongo

不管是商业项目还是个人项目,MongoDB都是一个非常好的数据库引擎,国内很多公司也开始用MongoDB。比起传统的数据库,这款数据库比较新,也有很多安全问题是大家还没有意识到的,而这些问题通常可以打得你措手不及。

本篇文章主要向大家介绍我在使用MongoDB的过程中遇到的问题,以及它是如何被用来修改数据库记录的。当然,利用过程很简单,不过其实各种方式的SQL注入技术说破了也就那么回事,但是依然有很多人容易犯这样的错误。

在我们开始前,我想先介绍下关于以下要用到的MongoDB的特性。MongoDB提供的更新机制是先定位到该文档,然后进行更新,如下例子:

{
  name:"John",
  info:{
      age:65
  }
}

如上面的记录,你可以通过以下语句对它进行更新:

db.people.update({"name":"John"}, {"$set":{"info.age":66}})

是不是很酷炫,好吧,知道大家早就懂了 

但是,如果子键不是硬编码的,又该如何呢?我们该如何通过变量将内容传进去呢?如下:

keyName = request.form|'keyName'|
keyData = request.form|'value'|
db.people.update({"name":"John"}, {"$set":{"info.{}".format(keyName):keyData}})

后台程序从前端请求中获取到key和value的值以后,通过参数传入MongoDB的更新函数中。那么问题来了,如果前端输入的是一个恶意的参数呢。

以下是我在处理一个未知用户输入时候产生的问题,为了说明,接下来我们写一段用来展示这个漏洞。代码如下:

from flask import *
import pymongo
import bson
import uuid
 
db = pymongo.MongoClient("localhost", 27017).test
 
form = """
<html><head></head><body>
<form method="POST">
<input type="text" name="username" placeholder="Username">
<input type="text" name="password" placeholder="Password">                                                                                                                                           
<input type="text" name="firstname" placeholder="Firstname">
<input type="text" name="lastname" placeholder="Lastname"/>
<input type="text" name="age" placeholder="Age">
<input type="submit" value="Submit">
</form></body></html>
    """
 
 
app = Flask(__name__)
app.secret_key = "secret"
 
@app.route("/logout/")
def logout():
    session.pop("_id")
    return redirect("/login/")
 
@app.route("/")
def index():
    if "_id" not in session:
        return redirect("/login/")
    name = request.args.get("name")
    lastname = request.args.get("lastname")
    if not name:
        return "<h1>Search for someone</h1><form method='GET'><input name='name' type='text' placeholder='First Name'><input name='lastname' type='text' placeholder='Last Name'><input type='submit'></form>"
    else:
        search_results = db.members.find_one({"{}".format(name):lastname})
        if search_results:
            search_results = name + " " + lastname + " is " + search_results['account_info']['age'] + " years old."
        return "{}<form><input name='name' type='text' placeholder='First Name'><input name='lastname' type='text' placeholder='Last Name'><input type='submit'></form>".format(search_results)
 
@app.route("/login/", methods=['GET', 'POST'])
def login():
    if request.method == "POST":
        username = request.form['username']
        password = request.form['password']
        check = db.members.find_one({"username":username, "password":password})
        if check:
            session['_id'] = str(check)
            return rediirect("/?name={}".format)
        else:
            return "Invalid Login"
    return "<h1>Login</h1>" + form 
 
@app.route("/signup/", methods=['GET', 'POST'])
def signup():
    if request.method == "POST":
        username = request.form['username']
        firstname = request.form['firstname']
        lastname = request.form['lastname']
        password = request.form['password']
        age = request.form['age']
        session['_id'] = str(db.members.insert({"username":username, "password":password, firstname:lastname, "account_info":{"age":age, "age":age, "isAdmin":False, "secret_key":uuid.uuid4().hex}}))
        return redirect("/")
    return "<h1>Signup</h1>" + form
 
@app.route("/settings/", methods=['GET', "POST"])
def settings():
    if request.method == "POST":
        username = request.form['username']
        firstname = request.form['firstname']
        lastname = request.form['lastname']
        password = request.form['password']
        age = request.form['age']
        db.members.update({"_id":bson.ObjectId(session['_id'])}, {"$set":{"{}".format(firstname):lastname, "account_info.age":age, "username":username}})
        return "Values have been updated!"
    return "<h1>Settings</h1>" + form
 
@app.route("/admin/", methods=['GET', 'POST'])
def admin():
    if "_id" not in session:
        return redirect("/login/")
    theUser = db.members.find_one({"_id":bson.ObjectId(session['_id'])})
    if not theUser['account_info']['isAdmin']:
        return "You do not have access to this page."
    if request.method == "POST":
        secret = request.form['secret_key']
        return str(db.members.find_one({"account_info.secret_key":secret}))
    return """<h1>Search user by secret key</h1>
    <form method="post"><input type="text" name="secret_key" placeholder="Secret Key"/><input type="submit" value="Serach"/></form>
    """
 
app.run(debug=True)

这个网站很简单。就是一个登陆页面,一个注册页面,一个设置页面,和一个index页面,用户可以在这些页面上输入他/她们的姓名,然后返回年龄,如下图。

需要注意的是,这段代码是很容易受到注入攻击的,接下来,我们来看看是如何进行注入的。

我们的目标是获得访问admin页面的权限。从网站代码中我们可以找到,后台是根据isAdmin字段来验证用户权限的,如下图

看一下后台的数据库大概是这样的:

其中,Firstname:Lastname是直接插入姓名的,看着很奇怪。

我们先创建一个用户,然后访问下/admin/页面,返回如下:

很好……果然没有权限访问。回顾下isAdmin可以用来控制该页面,也就是说,该用户在数据库中可能是这样的:

其中,firstname:lastname这一条是我们可控的,通过settings页面输入进去的,”username”, “password”, “firstname”, 和”lastname”实际上都是我们可以输入的,firstname:lastname在查询的时候是可以搞的,看起来似乎可以搞些文章。

把fistname改成account_info.isAdmin 并且把lastname改成”1 ”,1在python中代表的就是True。

点击Submint,发现修改成功了。

访问/admin/页面:

可以访问admin页面了,:D

同样的,要想用secret key查整个内容的话,可以这么做:

输入查询:

成功:

到此处,事实上我们能做的还有很多很多。我们可以用它来修改其他用户的账号密码,并且查看其他用户。在这里不多介绍。

很显然,这个网站的所有安全措施都没用了,敏感数据也变得危险。当然,当你的网站被攻击后,回过头来看代码,也许你会觉得自己的代码很搞笑,但这是绝对不容忽视的。好吧,其实我也犯过这样的错误,还好及时发现。

和关系型数据库的SQL注入一样,我们要做的就是过滤传入的参数。

好了,就酱紫啦~

欢迎加入我的QQ交流群425783133

海拉姆
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MongoDB注入
m0_48520508的博客
09-08 1084
#一、简介 MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 二、注入 简单的语句执行,注入 这里我们有一个mongodb的数据库,数据库为test 执行了语句: db.test.find({username:’test’,password:’test’}); 如果此时传入的url如下: http://127.0.0
Mongodb注入攻击
03-01
关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,文中涉及的攻击手法及其知识产权全部归原作者所有,我只是大自然的搬运工。未征得笔者同意,请勿转载。php下操作mongodb大致有以下两种方式1.用mongo类中相应的方法执行增查减改比如:此时,传递进入的参数是一个数组。2.用execute方法执行字符串比如:此时,传进方法execute的参数就是字符串变量$query特别的,此时的字符串书写语法为js的书写语法。
simpleLogin:Mongodb 注入测试
07-03
简单登录 Mongodb 注入测试
Python武器库开发-武器库篇之Mongodb未授权漏洞扫描器(五十六)
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-16 905
MongoDB是一款非常受欢迎的开源NoSQL数据库,广泛应用于各种Web应用和移动应用中。然而,由于默认配置的不当或者管理员的疏忽,导致不少MongoDB数据库处于未授权访问的状态,从而产生了潜在的安全风险。未授权访问漏洞指的是在MongoDB数据库中,没有设置正确的访问控制权限,导致攻击者可以直接访问数据库,获取或者修改敏感数据。这种漏洞的出现主要有以下几个原因:默认配置问题:MongoDB在默认情况下是没有开启身份验证机制的,这就意味着任何人都可以直接连接数据库并执行操作。
mongodb数据库怎样注入攻击
weixin_35749440的博客
01-11 232
MongoDB是一种面向文档的数据库,它可以使用类似于JSON的BSON格式存储数据。在MongoDB中,注入攻击通常是通过插入恶意的BSON数据来执行恶意操作。这种攻击可能包括在查询中插入恶意代码,在数据库中修改或删除数据,或在数据库中插入恶意数据。为了防止MongoDB数据库受到注入攻击,应该使用参数化查询,并严格验证用户输入。应用程序应该使用最小特权原则,只给予用户必要的访问权限。 ...
Mongodb注入
weixin_34249678的博客
01-06 339
0x01 Brief Description 作为nosql(not only sql)数据库的一种,mongodb很强大,很多企业也在用到。相对于sql数据库,nosql数据库有以下优点:简单便捷、方便拓展、更好的性能 0x02 Produce the vulnerability 漏洞环境搭建: kali2.0搭建的环境apt-get install mongodb,注意最好用aliyu...
NoSQLAttack - MongoDB默认配置攻击注入攻击工具
代码随想录
08-11 4394
NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击 这个攻击工具是基于tcstool的NoSQLMap和搜索引擎shodan,一些攻击的数据是来自于这两篇论文给予的启发和论文里面的例子Diglossia: Detecting Code Injection Attacks with Precision and Efficiency和No SQL, No Inje
SQL手工注入MongoDB数据库
小千安全
01-28 2054
MongoDB语法跟其它数据库有所区别 具体参考:https://www.runoob.com/mongodb/mongodb-query.html 环境 墨者靶场 SQL手工注入漏洞测试(MongoDB数据库) 思路 题目代码给出了列名 如果语句这样写/new_list.php?id=1 order by 2 代码接收db.notice.findOne({‘id’:‘1 order by 2’}); return data; 并没有闭合,注入语句无法生效 想办法闭合语句,查看所有集合 注入语句 都是
nosqli:NoSql注入CLI工具,用于使用MongoDB查找易受攻击的网站
02-04
NoSQL注入器 快速的NoSQL扫描器和注入器。 为了找到容易受到NoSQL注入攻击的站点,特别是Mongo。 关于Nosqli 我想要一个更好的nosql注入工具,该工具易于使用,完全基于命令行且可配置。 为此,我开始研究nosqli-一种用Go编写的简单nosql注入工具。 它的目标是快速,准确和高度可用,并具有易于理解的命令行界面。 产品特点 Nosqli当前支持Mongodb的nosql注入检测。 它运行以下测试: 基于错误-注入各种字符和有效载荷,在响应中搜索已知的Mongo错误 布尔盲注入-注入具有正确/错误有效载荷的参数,并尝试确定是否存在注入 定时注入-尝试在服务器中
MongoDB黑客事件浅析
02-24 2135
MongoDB黑客事件浅析 前几个月发生了一件大事,真是惊为天人啊,多个公司的mongoDB被黑了,黑客删除了数据库中的数据并在数据库中留下勒索信息索要比特币,说是给了钱才肯恢复数据,据说所有被删的数据居然超过了100TB,数据库的安全问题不容忽视啊。 个人感觉如果这件事如果发生了,不要盲目地直接去打钱给黑客,他说给钱就还原就真还原啊!!!别再次被坑了,先尝试使用其他手段尝试进行数据恢复,如备份
MongoDB数据库注入-墨者学院(SQL手工注入漏洞测试(MongoDB数据库))
T1ngSh0w的博客
09-05 1465
MongoDB数据库注入-墨者学院-SQL手工注入漏洞测试(MongoDB数据库)详细讲解
SQL注入之Oracle,MongoDB注入
weixin_51583033的博客
02-15 293
SQL注入之Oracle,MongoDB注入
一个MongoDB注入攻击案例分析
sunny_happy08的博客
07-31 3564
一个MongoDB注入攻击案例分析 东二门陈冠希2016-06-06+6共445013人围观 ,发现 3 个不明物体WEB安全数据安全 在开始我们的MongoDB注入之旅”之前,我们需要先知道和其他数据库相比,为什么我们更愿意选MongoDB——因为MongoDB并不是SQL作为查询语句,所以人们可能会以为这样的数据库难以进行注入攻击?然而事实上并非如此。 FreeBuf百科:关于Mong...
墨者靶场-SQL手工注入漏洞测试(MongoDB数据库)
Sa1nZen的博客
08-26 225
墨者靶场-SQL手工注入漏洞测试(MongoDB数据库)
SQL手工注入漏洞测试-MongoDB数据库注入-Access数据库注入-PostgreSQL数据库注入-Sql Server数据库注入-Oracle数据库注入
rumil的博客
08-15 253
SQL注入手工测试: MongoDB数据库注入-Access数据库注入-PostgreSQL数据库注入-Sql Server数据库注入-Oracle数据库注入
WEB漏洞-SQL注入之Oracle,MongoDB注入
硫酸超的博客
07-29 313
WEB漏洞-SQL注入之Oracle,MongoDB注入前言简要学习各种数据库的注入特点Access手工注入数据库判断猜表猜字段猜数据工具注入mssql mysql 前言 简要学习各种数据库的注入特点 数据库架构组成,数据库高权限操作 Access,Mysql,mssql,mongoDB,postgresql,sqlite,oracle,sybase等 Access 除了Access其他数据库组成架构基本都是大同小异。 access 表名 列名 数据 access数据库保存在网站源码下面,自己网站数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值