MongoDB高分辨率扫描器:NoSQLAttack

congtoucongtou 4年前
0 5.11W
华盟原创文章投稿奖励计划

自动草稿

介绍
NoSQLAttack是一个开源Python工具,可通过MongoDB默认配置弱点和注入攻击自动在Internet上公开MongoDB服务器IP并公开数据数据。目前,该项目专注于MongoDB。
一些攻击测试基于以下论文并对其进行扩展
Diglossia:精确高效地检测代码注入攻击
没有SQL,没有注入?
数千个没有Internet访问控制的MongoDB。
此项目中有两种测试NoSQL注入的系统-NoSQLInjectionAttackDemo。
背景
NoSQL注入攻击,例如php数组注入,javascript注入和mongo shell注入,危害mongoDB。互联网上公开了成千上万的mongoDB,黑客可以从公开的mongoDB下载数据。
要求
在基于Debian或Red Hat的系统上,NoSQLAttack的依赖项已被写入setup.py中。该项目基于Pycharm社区2016.1和python 2.7.10构建。
因使用的功能而异:
Shodan 1.5.3
httplib2-0.9
Python-2.7
pymongo-2.7.2
要求2.5.0
ipcalc-1.1.3
MongoDB
建造
在Linux上,它是这样的:
cd NoSQLAttack
python setup.py安装
提示
如果输入“ python setup.py install”后,终端显示错误信息“ No module named setuptools”,则只需安装setuptools。在Ubuntu上,“ sudo apt-get install python-setuptools”,此命令很有用
安装MongoDB for MongoDB默认配置攻击。
用法
构建后,您可以像这样运行NoSQLAttack:
NoSQL攻击
启动NoSQLAttack后,将显示主菜单:
===============================================
        _ _ _____ _____ _                      
       |  \ |  |      / ___ ||   _   |  |                      
       |   \ |  | ___ \ ` - |  |  |  |  |                    
| 。` | / _ \ ` -。\ | | | | | | | \ | (_)/ \ _ _ / / \ \ / ' / | ____                  \ _ | \ _ / \ ___ / \ ____ / \ _ / \ _ \ _____ /                                                           _                                           

    / \ _ _ | | _         
   / \ _ || | _ _ | | _____ ___ | | / /        
  / / \ \ | _ _ || _ _ || / __ \ / __ | | | / /         
/ /-\ \ | | _ | | _ | | _ | | | | __ | | \ \        
/ /--\ \ \ ___ \ \ ___ \ \ ______ \ \ ___ | | | \ _ \       
=============================================== 
NoSQLAttack-v0.2 
sunxiuyang04@gmail.com
1-扫描攻击的IP 
2-配置参数
3-MongoDB访问攻击
4-注入攻击
x-Exit
影片
适用于MongoDB的NoSQLAttack演示。
(1)默认配置Attacks演示

(2)injection攻击演示
文章来源:

https://github.com/youngyangyang04/NoSQLAttack

MongoDB(1),NoSQLAttack(1),扫描器(6)
本文原创,作者:congtou,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/download/259032.html
congtou官方
congtou

100篇下载 4.58M总阅读量

相关下载

发表评论