0x00:简介
MongoDB是一个基于分布式文件存储的优秀数据库。它是基于C++语言编写的。主要的用途是在为WEB应用提供可扩展的高性能数据存储解决方案。
MongoDB是当前最流行的Nosql数据库之一。
0x01:使用情况
FOFA搜索下,全球存在用户:302996
国内用户量:48667
0x02:找到目标
全球有24899台可以未授权访问
可见国内有9700台
0x03:验证过程
MongoDB默认端口一般都为27017,当配置成无验证时,就会存在未授权访问。
使用MSF中的scanner/mongodb/mongodb_login模块进行测试,就可以使用navicat数据库链接工具连接获取数据库中的内容。
use auxiliary/scanner/mongodb/mongodb_login
set rhosts 192.168.1.0
set threads 10
exploit
0x04:漏洞预防
1、修改默认端口
2、不要开放服务到公网
vim /etc/mongodb.conf
bind_ip = 127.0.0.1
3、禁用HTTP和REST端口