添加mongodb认证_MongoDB数据库未授权访问漏洞

0x01 简介

MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。

MongoDB是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。它支持的数据结构非常松散，是类似

json格式，因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大，其语法有点类似于面向对象的查询语言，几乎可以实现类似关系

数据库单表查询的绝大部分功能，而且还支持对数据建立索引。

0x02 漏洞复现

探测服务：

漏洞验证：

使用第三方客户端连接：

0x03 修复建议

1、修改默认端口

修改默认的mongoDB端口(默认为: TCP 27017)为其他端口

2、不要开放服务到公网

vim /etc/mongodb.conf
bind_ip = 127.0.0.1

3、禁用HTTP和REST端口

4、为MongoDB添加认证

MongoDB启动时添加--auth参数、为MongoDB添加用户