NoSQLAttack针对 mongoDB 的攻击工具

  • A+
所属分类:安全工具

介绍

NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击,使用这个工具就可以发现有成千上万的mongoDB裸奔在互联网上,并且数据可以随意下载。

NoSQL注入攻击测试系统NoSQLInjectionAttackDemo,这里面有两个系统用来测试注入攻击。

https://github.com/youngyangyang04/NoSQLInjectionAttackDemo


背景介绍

在NoSQL注入攻击中有PHP数组注入,js注入和mongo shell拼接注入等多种方法可以攻击mongoDB,并且现在有成千上万的mongoDB暴露在互联网上,只要知道目标mongoDB的ip和端口号就可以把裸露的mongoDB中的数据都下载下来。

运行环境

项目运行在linux系统上,NoSQLAttack的依赖包已经写在setup.py文件里,并且已经在ubantu和MAC OX上都测试了,只需要执行这个脚本就可以自动配置好安装环境 开发这个项目使用时使用的是Pycharm COMMUNITY 2016.1,python的版本为2.7.10,使用者需要在本地电脑安装mongoDB。

安装

在linux系统下可以直接将下载的项目解压,然后执行以下两个命令

cd NoSQLAttack

python setup.py install

使用方法

安装完毕后,执行一下命令就可以启动该项目

NoSQLAttack

启动该项目后将会展现如下的界面,然后就可以开启黑客之旅了

选项1扫描可攻击IP演示

NoSQLAttack针对 mongoDB 的攻击工具

NoSQLAttack针对 mongoDB 的攻击工具


本文始发于微信公众号(盾山实验室):NoSQLAttack针对 mongoDB 的攻击工具

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: