专栏首页渗透云笔记MongoDB未授权访问漏洞复现

MongoDB未授权访问漏洞复现

人不狠,话不多的表弟登场

0x00简介

MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。

MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。

0x01漏洞危害

开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增删改高危动作)而且可以远程访问数据库。

0x02漏洞成因

在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使mongod启动时添加了—auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以—auth 参数启动),直到在admin.system.users中添加了一个用户。加固的核心是只有在admin.system.users中添加用户之后,mongodb的认证,授权服务才能生效

0x03漏洞复现

我也是有关键词的男人(其实是我苦苦求着表哥给我的)

随缘选一个ip然后祭出神奇metasploit

MongoDB默认端口27017,当配置成无验证时,存在未授权访问,使用msf中的scanner/mongodb/mongodb_login模块进行测试,使用navicat连接获取数据库中的内容。

use auxiliary/scanner/mongodb/mongodb_login

set rhosts 192.168.90.0/24

set threads 10

exploit

0x04防御

1、修改默认端口

2、不要开放服务到公网

  • vim /etc/mongodb.conf
  • bind_ip = 127.0.0.1

3、禁用HTTP和REST端口

作者公众号: 南柯酒馆

本文分享自微信公众号 - 渗透云笔记(shentouyun)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • SQL注入的各种姿势

    当我们在输入框中输入不正常的id如1’ union select 1,database()%23,sql语句为

    天钧
  • 小白应知基础之网络常识

    第一代->50年代中至60年代初,以单计算机为中心的联机系统服务器只做信息处理,服务器和服务器之间不能通信同一台服务器上的用户互相通信

    天钧
  • python基础之深浅copy

    首先在了解python中的深浅拷贝之前,我们先花一点时间来了解一下python内存中变量的存储情况。对于python而言,变量的存储采用了引用语义的方式,存储的...

    天钧
  • Mac下安装 MongoDB

    希希里之海
  • struct2利用相关的Aware接口

    Struts 2提供了Aware接口。Aware为"感知"的意思,实现了相关Aware接口的Action能够感知相应的资源。Struts在实例化一个Action...

    ydymz
  • Rancher无法启动healthcheck和lb

    一个新产品临近上线,全部采购了腾讯云ECS服务器,安装了Rancher 1.6.17做容器编排。在添加主机到服务器集群时,rancher的 healthchec...

    码代码的陈同学
  • 试一试在没有操作系统的机器上运行下我们的代码

    Hello,小伙伴们大家好,在上一篇文章中(传送门:没有操作系统,也能运行我们的程序?(理论部分)),我们已经知道了一台计算机是如何加载操作系统到内存之中的。在...

    xujjj
  • SQLite 基础

    第1页:limit 0, 5 第2页:limit 5, 5 第3页:limit 10, 5 … 第n页:limit 5*(n-1), 5

    hrscy
  • 使用Mutant-allele tumor heterogeneity(MATH)算法评估肿瘤异质性

    前些天看到一篇临床研究的文献,发表于2017年 Breast Cancer Res Treat期刊的Clinical and molecular relevan...

    生信技能树
  • 中兴智能视觉大数据说:原来今年的高考也要看脸了啊!

    中兴智能视觉大数据报道:再过一些时间,2018年高考将正式拉开大幕,本次高考广东肇庆中学,作为全省两个第一批试点的考点之一,将在今年高考中首次使用人脸识别技术,...

    用户2155938

扫码关注云+社区

领取腾讯云代金券