MongoDB未授权访问漏洞

最新推荐文章于 2024-09-09 22:50:15 发布
最新推荐文章于 2024-09-09 22:50:15 发布
阅读量163 收藏
点赞数 2
文章标签: mongodb 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71053667/article/details/140904779
版权

》》》漏洞原因《《《
造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。

步骤一:在Kali上执行以下命令搭建起MongoDB的漏洞环境...

拉取镜像:docker pull mongo
启动镜像docker run -d -p 27017:27017  mongo
查看镜像:docker ps -a

 

步骤二:使用Nmap的插件脚本进行扫描.发现存在未授权访问漏洞.

#扫描命令
nmap-p 27017 --script mongodb-info 192.168.87.128

 

 步骤三:也可尝试使用MSF中的模块进行漏洞测试.不需要认证即可直接连接.

msfconsole
use auxiliary/scanner/mongodb/mongodb_loginshow options
set rhosts 192.168.30.138 
set threads 15
exploit

 

 

 

步骤四:即存在未授权访问漏洞使用Navicat进行连接. 

 

发生什么事了318
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MongoDB 授权访问漏洞
玄道的网安博客
07-02 1506
前言 MongoDB 是一个基于分布式文件存储的数据库 漏洞分析 Mongodb 在启动的时候提供了很多参数,如日志记录到哪个文件夹,是否开启认证等。造成授权访问的根本原因就在于启动 Mongodb 的时候设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。 环境搭建 使用docker来搜索镜像,并拉取排名靠前的 docker search mongodb docker pull mongo
MongoDB授权访问漏洞验证与修复过程
心想事成
12-29 3898
Windows环境下快速修复mongodb授权
二、MongoDB授权访问漏洞
starhei.zxy的博客
08-04 377
造成授权访问的根本原因就在于启动 Mongodb 的时候设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。步骤二:使用Nmap的插件脚本进行扫描...发现存在授权访问漏洞...步骤四:即存在授权访问漏洞使用Navicat进行连接...
授权访问MongoDB授权访问漏洞
qq_68163788的博客
05-09 4219
授权访问MongoDB数据库漏洞,攻击者可以利用这个漏洞来获取敏感数据、修改数据甚至破坏数据库漏洞通常是由于管理员正确配置访问控制、弱密码或者及时更新数据库等原因导致的。为了防止授权访问,管理员应该及时更新数据库版本、配置访问控制列表、使用强密码以及监控数据库访问日志等措施。通过加强安全措施和定期审查数据库权限,可以有效防止授权访问漏洞的利用,保护数据库安全。
MongoDB 授权访问漏洞复现
m0_58596609的博客
01-06 2548
MongoDB 授权访问漏洞复现
MongoDB 授权访问漏洞学习
ximo的博客
05-14 776
漏洞简介 MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 造成授权访问的根本原因就在于启动 Mongodb 的时候设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。 环境搭建 这里使用的是kali linux。 dock
MongoDB授权访问漏洞复现及加固
weixin_43061533的博客
12-15 2983
0x01 漏洞简述 MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。MongoDB服务安装后,默认开启权限验证。如果服务监听在0.0.0.0,则可远程无需授权访问数据库。 0x02 风险等级 严漏
授权访问MongoDB修复方案
fengxioabai的博客
03-20 915
授权访问MongoDB修复方案。
下载适用于 Linux 的 MongoDB Shell教程
qingcyb的博客
09-05 423
MongoDB Shell Download | MongoDB
MongoDB 的功能
Flying_Fish_roe的博客
09-07 1126
MongoDB 的功能丰富多样,能够高效应对各种应用场景。其灵活的文档模型、水平扩展、强大的查询与索引机制、事务支持以及高可用性和扩展性,使其成为现代应用开发中的热门选择。无论是小型的实时应用,还是大型分布式系统,MongoDB 都能够提供强大的功能支持。
基于单片机的人脸识别的智能门禁系统设计
最新发布
QQ1928499906的博客
09-09 937
💗博主介绍:✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师,一名热衷于单片机技术探索与分享的博主、专注于 精通51/STM32/MSP430/AVR等单片机设计 主要对象是咱们电子相关专业的大学生,希望您们都共创辉煌!✌💗👇🏻 精彩专栏 推荐订阅👇🏻单片机设计精品实战案例✅普遍来讲门禁管理系统的主要在以下的范围使用:职员办公室、数据中心、实验室、社区出入口、高档宾馆房间门等重要场所。如今,门禁控制大多是机械结构的,由于机械门禁系统中缺乏电子设备,因此相对可靠。
MongoDB介绍
Flying_Fish_roe的博客
09-07 691
MongoDB 是一种基于文档存储的开源 NoSQL 数据库,采用了灵活的文档模型来存储数据,数据结构可以根据需要动态调整。这使得 MongoDB 非常适合处理快速变化的、非结构化的数据。它以高性能、可扩展性和灵活性著称,是现代应用程序中非常流行的数据库之一。与传统的关系型数据库 (如 MySQL、PostgreSQL) 不同,MongoDB 使用的是无模式设计,数据以 BSON(二进制 JSON)格式存储,这使得它能够更灵活地存储复杂的数据结构,如嵌套文档、数组等。
Mongodb 4.2.25 安装教程
qingcyb的博客
09-04 1522
maxIncomingConnections: 2000 # 最大连接数。
MongoDB-聚合查询操作介绍
侯晓阳的博客
09-06 1506
MongoDB聚合操作相当于关系型数据库SQL语句的"group by"、“order by"这种语句,而我们MongoDB的聚合操作也是使用到group这个聚合函数,但是在介绍聚合函数之前,需要先介绍一个,查询命令"db.collection.aggregate()”,之前我们使用的查询方法都是”db.collection.find()“;而当MongoDB需要进行聚合操作时,例如取平均值、统计数据,就需要用到"db.collection.aggregate()"方法了。
MongoDB基本语法
Flying_Fish_roe的博客
09-07 1017
MongoDB 是一种面向文档的 NoSQL 数据库,支持灵活的数据结构和高扩展性,广泛应用于现代应用程序开发。MongoDB 采用 BSON(Binary JSON)格式存储数据,使得其能够存储复杂嵌套的结构。
Error mongodb connect: 使用Mongoose连不上mongodb官方数据库
qwe1314225的博客
09-09 421
很扯淡的一个问题,折腾了好几个小时。一开始我还以为连接copy错了。还特地把url放到.env环境变量的文件中去,但是用mongodb 默认的client连接就没问题!但是一用mongoose就出错。没想到是mongoose需要通过options对象多配置一下数据库名称!!!得多看文档不要想当然认为。
嵌入式软件--51单片机 DAY 3
zx18831955136的博客
09-03 1199
按键的作用相当于一个开关,按下时接通(或断开),松开后断开(或接通)。
MongoDB授权漏洞加固指南与安装教程
MongoDB授权漏洞加固是一个关于确保MongoDB数据库...这篇文档是针对MongoDB授权访问漏洞的防范措施和基本操作指南,对IT管理员和开发人员来说是一个实用的参考资源,有助于提升MongoDB服务器的安全性和合规性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值