MongoDB下的未经授权访问漏洞
0x00:简介
MongoDB是一个基于分布式文件存储的优秀数据库。它是基于C++语言编写的。主要的用途是在为WEB应用提供可扩展的高性能数据存储解决方案。
MongoDB是当前最流行的Nosql数据库之一。
0x01:使用情况
FOFA搜索下,全球存在用户:302996
国内用户量:48667
0x02:找到目标
全球有24899台可以未授权访问
可见国内有9700台
0x03:验证过程
MongoDB默认端口一般都为27017,当配置成无验证时,就会存在未授权访问。
使用MSF中的scanner/mongodb/mongodb_login模块进行测试,就可以使用navicat数据库链接工具连接获取数据库中的内容。
use auxiliary/scanner/mongodb/mongodb_login
set rhosts 192.168.1.0
set threads 10
exploit
0x04:漏洞预防
1、修改默认端口
2、不要开放服务到公网
vim /etc/mongodb.conf
bind_ip = 127.0.0.13、禁用HTTP和REST端口
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-10-30,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
相关产品与服务
云数据库 MongoDB
腾讯云数据库 MongoDB(TencentDB for MongoDB)是腾讯云基于全球广受欢迎的 MongoDB 打造的高性能 NoSQL 数据库,100%完全兼容 MongoDB 协议,支持跨文档事务,提供稳定丰富的监控管理,弹性可扩展、自动容灾,适用于文档型数据库场景,您无需自建灾备体系及控制管理系统。