NoSQLAttack针对 mongoDB 的攻击工具

最新推荐文章于 2022-07-15 21:24:02 发布
最新推荐文章于 2022-07-15 21:24:02 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 渗透测试 文章标签: 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43977912/article/details/116594770
版权

介绍
NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击,使用这个工具就可以发现有成千上万的mongoDB裸奔在互联网上,并且数据可以随意下载。
NoSQL注入攻击测试系统NoSQLInjectionAttackDemo,这里面有两个系统用来测试注入攻击。
https://github.com/youngyangyang04/NoSQLInjectionAttackDemo

背景介绍
在NoSQL注入攻击中有PHP数组注入,js注入和mongo shell拼接注入等多种方法可以攻击mongoDB,并且现在有成千上万的mongoDB暴露在互联网上,只要知道目标mongoDB的ip和端口号就可以把裸露的mongoDB中的数据都下载下来。

运行环境
项目运行在linux系统上,NoSQLAttack的依赖包已经写在setup.py文件里,并且已经在ubantu和MAC OX上都测试了,只需要执行这个脚本就可以自动配置好安装环境 开发这个项目使用时使用的是Pycharm COMMUNITY 2016.1,python的版本为2.7.10,使用者需要在本地电脑安装mongoDB。

安装

在linux系统下可以直接将下载的项目解压,然后执行以下两个命令
cd NoSQLAttack
python setup.py install

使用方法
安装完毕后,执行一下命令就可以启动该项目
NoSQLAttack
启动该项目后将会展现如下的界面,然后就可以开启黑客之旅了
选项1扫描可攻击IP演示
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

黄一113530
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NoSQL自动攻击测试工具NoSQLMap.zip
07-19
NoSQLMap是一款开源Python工具,可以帮助安全测试人员自动化对NoSQL数据库进行攻击测试。目前这款工具的漏洞利用程序围绕MongoDB,但是以后会支持更多的NoSQL数据库,如 CouchDB, Redis和Cassandra。NoSQLMap是一款Python编写的开源工具,常用于审计NoSQL数据库中的自动注入攻击、为了从数据库中揭露数据而利用NoSQL数据库或使用NoSQL的Web应用的默认配置弱点。它这样命名是为了几年Bernardo Damele和Miroslav创作的流行的SQL工具SQLmap,它的设计理念来源于Ming Chow在Defcon中发表的很棒的演讲-”Abusing NoSQL Databases”。该工具目前主要应用于MongoDB,但是它在未来的版本中还会支持其他基于NoSQL的平台,如CouchDB, Redis和Cassandra等。当前该项目的目的是为简单攻击MongoDB服务器和一些web应用提供渗透测试工具,以及用通过概念攻击来证明某NoSQL应用不会受到SQL注入。主要功能:自动化MongoDB和CouchDB数据库枚举和克隆攻击。通过MongoDB web应用提取数据库名称、用户和哈希密码。为使用默认访问和枚举版本的MongoDB和CouchDB数据库扫描子网或IP列表。字典攻击、暴力破解恢复的MongoDB和CouchDB的哈希密码。针对MongoClient的PHP应用程序参数注入攻击,返回所有数据库中的记录。Javascript函数变量转移和任意代码注入,返回所有数据库中的记录。类似于盲SQL注入的用于验证无来自应用程序的反馈的Javascript注入漏洞的时序攻击。使用方法启动./nosqlmap.py或python nosqlmap.py.基本菜单1-Set options (do this first) 2-NoSQL DB Access Attacks 3-NoSQL Web App attacks 4-Exit 标签:NoSQLMap
NoSQLAttack工具安装与使用问题解决
永远是少年
07-15 1929
今天继续给大家介绍Linux运维相关知识,本文主要内容是NoSQLAttack工具下载与使用问题解决。 在安装使用NoSQLAttack过程中,很多同学遇到了一些安装和使用方面的问题,今天在这里解决下。 一、安装系统选择 二、requests版本问题 三、NoSQLAttack使用问题...
NoSQLAttack工具下载与使用
永远是少年
07-15 1416
今天继续给大家介绍Linux运维相关知识,本文主要内容是NoSQLAttack工具下载与使用。 一、NoSQLAttack工具下载与安装 二、NoSQLAttack工具使用
Kali安装NoSQLAttack错误 | load_entry_point not found
The code way of kinnisoy
10-12 1479
kali安装NoSQLAttack 在kali2020上面安装NoSQLAttack工具,报错如下!: 原因是: 1.工具是用python2 编写的 2.kali上面已经不支持pip2 因此只需要安装pip2: wget https://bootstrap.pypa.io/pip/2.7/get-pip.py 更新setuptools sudo pip2 install --upgrade setuptools ...
NOSQL学习(2)–MongoBD3.4.4安装
12-14
MongoBD3.4.4安装 下载链接 链接:https://pan.baidu.com/s/15s6AC4g9SvQtm9x4fU3MBA 提取码:42vp 开始安装 自定义安装位置 更换安装位置 开始安装 安装完成 在E:\NOSQL\mongoDB\目录下创建conf(配置)、data(数据)、logs(日志)文件夹 在conf文件夹下新建mongodb.config文件 在logs文件夹下,新建mongodb.log文件。 在mongodb.config文件内写入 dbpath=E:\NOSQL\mongoDB\data #数据库路径 logpath=E:\NOSQL
Mongodb注入攻击
03-01
关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,...
MongoDB客户端工具
05-26
MongoDB客户端工具
JAVA单例MongoDB工具
12-22
经常对MongoDB进行一些常用操作,为了方便起见将这些常用操作合并到一个工具类中,方便自己开发使用。  没用Spring Data、Morphia等框架是为了减少学习、维护成本,另外自己直接JDBC方式的话可以更方便的控制操作...
mongodb管理工具
01-19
mongodb管理工具,客户端连接工具, robomongo-1.0.0-rc1-windows-x86_64
NoSQLInjectionAttackDemo-master.zip
12-08
文件在 kali linux下安装运行
再见 NoSQL
01-20
为解决大规模数据集合多重数据种类带来的挑战,NoSQL 应运而生,但现在却也遇到了诸多问题,本文作者 Rick Negrin,曾在微软工作 12 年,并在 SQL Server 团队度过大部分光阴,他提出,是时候「和 NoSQL 说再见」了! 作者 | Rick Negrin 译者 | 明明如月 责编 | 唐小引 头图 | CSDN 下载自东方 IC 出品 | CSDN(ID:CSDNnews) 以下为译文: 是时候承认我们早就知道的事实了:NoSQL 并不适合现代应用程序,我们该对它说再见了。 由于数据超过了数据库能够处理的规模,NoSQL 技术就应运而生。这种新型的数据服务的兴起解决了十
Linux系统安装NoSQLMongoDB和Redis)步骤及问题解决办法(总结篇)
09-09
主要介绍了Linux系统安装NoSQLMongoDB和Redis)步骤及问题解决办法的相关资料,本文分步骤给大家介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起看看吧
NoSQL Manager for MongoDB(5.8.3)
01-15
NoSQL Manager for MongoDB是一个mongodb数据库的管理工具
渗透自学(四)SQL注入(二)
qq_57449919的博客
01-10 1345
渗透基础自学知识,有写的不好的地方请多多指出
NOSQL安全攻击
djph26741的博客
03-22 129
摘自:http://www.infoq.com/cn/articles/nosql-injections-analysis JSON查询以及数据格式 PHP编码数组为原生JSON。嗯,数组示例如下: array(‘title’ => ‘The Hobbit’, ‘author’ => ‘J.R.R. Tolkien’); 将由PHP编码为以下JSON格式: {“...
NoSQLAttack - MongoDB默认配置攻击和注入攻击工具
代码随想录
08-11 4371
NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击 这个攻击工具是基于tcstool的NoSQLMap和搜索引擎shodan,一些攻击的数据是来自于这两篇论文给予的启发和论文里面的例子Diglossia: Detecting Code Injection Attacks with Precision and Efficiency和No SQL, No Inje
推荐两款SQL注入扫描工具|支持MongoDB
向阳-Y.的博客
11-07 1157
推荐两款SQL注入扫描工具: sqlmap nosqlattack是一款基于windows操作系统的扫描工具 不支持MongoDB数据库 下载地址及使用方法 nosqlattack工具 nosqlattack是一款基于linux操作系统的扫描工具 支持MongoDB数据库 下载地址: https://github.com/youngyangyang04/NoSQLAttack ...
mongodb 连接工具
最新发布
06-09
1. MongoDB Compass:官方提供的可视化连接工具,支持 Windows、macOS 和 Linux 等多个平台。 2. Robo 3T:一款免费的 MongoDB GUI 工具,支持 Windows、macOS 和 Linux 等多个平台。 3. Studio 3T:一款收费的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值