MongoDB未授权漏洞复现

最新推荐文章于 2024-04-24 11:14:58 发布
最新推荐文章于 2024-04-24 11:14:58 发布
阅读量890 收藏 1
点赞数
文章标签: mongodb 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangdongchengya/article/details/130781672
版权

文章目录

MongoDB未授权

MongoDB未授权漏洞是指攻击者可以未经身份验证地远程访问MongoDB数据库服务器的漏洞。这种漏洞通常是由于管理员没有正确配置数据库安全选项,比如没有启用身份验证或者没有限制远程访问的IP地址等所导致的。

攻击者可以利用这种漏洞来获取敏感数据、修改数据库记录,甚至是删除整个数据库。

漏洞复现

MongoDB默认端口是27017

fofa语法

port=“27017”

nmap验证开放端口

nmap -p 27017

在这里插入图片描述

Navicat验证未授权

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Gcx3DIIW-1684566211650)(hh_pic/image-20230419175446712.png)]

MSF验证未授权

MSF中用use auxiliary/scanner/mongodb/mongodb_login

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wSsG5BpN-1684566211653)(hh_pic/image-20230419175533325.png)]

G3et
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mongodb-cpy.py
05-25
mongodb多线程授权批量检测工具,直接单url检测,也支持批量url检测,环境为python3,使用请在授权情况下使用,一切责任与作者无关。
MongoDB授权访问漏洞验证与修复过程
心想事成
12-29 3512
Windows环境下快速修复mongodb授权
mongodb授权漏洞
weixin_53884648的博客
10-09 6863
mongodb 授权访问漏洞复现及修复方案总结
MongoDB 授权访问
m0_62207482的博客
03-02 373
mongoDB默认会使用默认端口监听web服务,一般不需要通过 web 方式进行远程管理,建议禁用。#使用admin库db.addUser(“root”, “123456”) #添加用户名root密码 123456的用户db.auth(“root”,“123456”) #验证下是否添加成功,返回1说明成功。开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库, 登录的 用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。
常见授权访问漏洞总结1
08-04
漏洞简介以及危害config set dir /var/spool/cron
mogodb授权访问扫描脚本
07-16
mogodb授权访问扫描脚本Python。 实例:mogodbscan.py 192.168.1.1/24
常见授权访问漏洞修复
qq_41945550的博客
06-02 4364
MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB默认端口为27017。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库
授权和代码执行漏洞特征和检测方法
wutiangui的博客
10-13 769
查看在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,若存在fastjson-1.2.*.**.jar格式的jar文件,或者抓包发现被测应用系统的响应报文中包含“com.alibaba.fastjson”字符串,则需检测是否存在fastjson反序列化漏洞。s=captcha,若响应包中包含phpinfo信息,则说明存在代码执行漏洞。依次修改URL末尾的端口号为常见的22,80,443,7001,8080等端口,若页面中根据端口号不同出现如下字符串,说明存在SSRF漏洞
MongoDB 授权访问漏洞利用
tangshuangsss的专栏
12-20 7247
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介MongoDB是一个基于分布式文件存储的数据库,是一个介于关系数据库和非关系数据库之间的产品,它的特点是高...
授权访问漏洞合集
m0_49420271的博客
07-24 798
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
MongoDB 授权访问漏洞
qq_50854662的博客
10-18 1065
MongoDB授权访问漏洞
基于Docker的MongoDB实现授权访问的方法
09-09
主要介绍了基于Docker的MongoDB实现授权访问的方法,需要的朋友可以参考下
mongodb授权漏洞加固.pdf
03-15
mongodb授权漏洞加固
数据库MongoDB
丷从心·的博客
04-23 1095
数据库MongoDB
MongoDB 与MySQL的区别?优势?
jyx_boy的博客
04-22 1638
MongoDB 与 MySQL 是两种不同类型的数据库管理系统,它们各自有独特的数据模型、查询语言、扩展方式以及适用场景。
MongoDB数据恢复—拷贝MongoDB数据库文件后无法启动服务的数据恢复案例
beiya123的博客
04-23 559
服务器数据恢复环境: 一台Windows Server操作系统服务器,服务器上部署MongoDB数据库MongoDB数据库故障&检测: 工作人员在关闭MongoDB数据库服务的情况下,将数据库文件拷贝到其他分区。拷贝完成后将原MongoDB数据库所在分区进行了格式化操作,然后将数据库文件拷回原分区,重新启动MongoDB服务,服务无法启动。
MongoDB】--MongoDB的组合索引
寻梦友的博客
04-23 407
本文章主要介绍Mongodb的组合索引的使用。
【Python数据库MongoDB
最新发布
丷从心·的博客
04-24 675
【Python数据库MongoDB
mongodb 路由
12-07
MongoDB路由是指将客户端请求路由到正确的分片以获取所需数据的过程。MongoDB路由器是mongos进程,它是客户端与MongoDB分片集群交互的接口。下面是MongoDB路由的一些基本概念和步骤: 1. MongoDB路由器(mongos)是客户端与MongoDB分片集群交互的接口,客户端只需要连接到mongos即可。 2. MongoDB路由器(mongos)会将客户端请求路由到正确的分片以获取所需数据。 3. MongoDB路由器(mongos)会根据客户端请求的namespace和shard key来确定数据所在的分片。 4. MongoDB路由器(mongos)会维护一个分片集群的元数据信息,包括每个分片的状态、数据分布情况等。 5. MongoDB路由器(mongos)会将客户端请求转发给正确的分片,并将分片返回的结果合并后返回给客户端。 下面是MongoDB路由的一些基本步骤: 1. 启动MongoDB路由器(mongos)进程。 2. 配置MongoDB路由器(mongos)的连接信息,包括连接到哪些MongoDB分片、MongoDB分片的连接信息等。 3. 将客户端连接到MongoDB路由器(mongos)。 4. 客户端发送请求到MongoDB路由器(mongos)。 5. MongoDB路由器(mongos)根据请求的namespace和shard key来确定数据所在的分片。 6. MongoDB路由器(mongos)将请求转发给正确的分片,并将分片返回的结果合并后返回给客户端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值