NoSQLAttack - MongoDB默认配置攻击和注入攻击工具

最新推荐文章于 2026-04-22 07:27:01 发布
原创 最新推荐文章于 2026-04-22 07:27:01 发布 · 4.6k 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#NoSQL #mongodb #injection #注入攻击 #网络安全
NoSQLAttack是一款用Python编写的开源工具,旨在扫描网络中默认配置的mongoDB并下载其数据,同时支持对基于mongoDB的应用进行注入攻击。该工具利用tcstool的NoSQLMap和Shodan搜索引擎来定位目标。


Github: https://github.com/youngyangyang04/NoSQLAttack


这是一个mongoDB的注入工具,最简化用户操作来实现mongoDB默认配置攻击和注入攻击。

使用这个工具就可以发现有成千上万的mongoDB裸奔在互联网上,并且数据可以随意下载

NoSQL注入攻击测试系统NoSQLInjectionAttackDemo:https://github.com/youngyangyang04/NoSQLInjectionAttackDemo,这里面有两个登录系统用来测试注入攻击


NoSQLAttack

介绍

NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击,使用这个工具就可以发现有成千上万的mongoDB裸奔在互联网上,并且数据可以随意下载。

这个攻击工具是基于tcstool的NoSQLMap和搜索引擎shodan

一些攻击的数据是来自于以下论文给予的启发

NoSQL注入攻击测试系统NoSQLInjectionAttackDemo,这里面有两个系统用来测试注入攻击。

运行环境

项目运行在linux系统上,NoSQLAttack的依赖包已经写在setup.py文件里,并且已经在ubantu和MAC OX上都测试了,只需要执行这个脚本就可以自动配置好安装环境 开发这个项目使用时使用的是Pycharm COMMUNITY 2016.1,python的版本为2.7.10,使用者需要在本地电脑安装mongoDB

安装

在linux系统下可以直接将下载的项目解压,然后执行以下两个命令

cd NoSQLAttack
python setup.py install

使用方法

安装完毕后,执行一下命令就可以启动该项目

NoSQLAttack

启动该项目后将会展现如下的界面,然后就可以开启黑客之旅了

================================================
        _   _       _____  _____ _                      
       | \ | |     /  ___||  _  | |                     
       |  \| | ___ \ `--. | | | | |                   
       | . ` |/ _ \ `--. \| | | | |                    
       | |\  | (_) /\__/ /\ \/' / |____          
       \_| \_/\___/\____/  \_/\_\_____/                  
                                        _          
    /\      _      _                   | |  _        
   /  \   _| |_  _| |    _____    ___  | | / /       
  / /\ \ |_   _||_   _| / __  \  / __| | |/ /        
 / /--\ \  | |_   | |_  | |_| | | |__  | |\ \       
/ / -- \ \ \___\  \___\ \______\ \___| | | \_\      
================================================    
NoSQLAttack-v0.2
sunxiuyang04@gmail.com


1-Scan attacked IP
2-Configurate parameters
3-MongoDB Access Attacks
4-Injection Attacks
x-Exit

nosqli:NoSql注入CLI工具,用于使用MongoDB查找易受攻击的网站
02-04
NoSQL注入器 快速的NoSQL扫描器注入器。 为了找到容易受到NoSQL注入攻击的站点,特别是Mongo。 关于Nosqli 我想要一个更好的nosql注入工具,该工具易于使用,完全基于命令行且可配置。 为此,我开始研究nosqli-一种用Go编写的简单nosql注入工具。 它的目标是快速,准确高度可用,并具有易于理解的命令行界面。 产品特点 Nosqli当前支持Mongodbnosql注入检测。 它运行以下测试: 基于错误-注入各种字符有效载荷,在响应中搜索已知的Mongo错误 布尔盲注入-注入具有正确/错误有效载荷的参数,并尝试确定是否存在注入 定时注入-尝试在服务器中
NoSQL自动攻击测试工具NoSQLMap.zip
07-19
NoSQLMap是一款开源Python工具,可以帮助安全测试人员自动化对NoSQL数据库进行攻击测试。目前这款工具的漏洞利用程序围绕MongoDB,但是以后会支持更多的NoSQL数据库,如 CouchDB, RedisCassandra。NoSQLMap是一款Python编写的开源工具,常用于审计NoSQL数据库中的自动注入攻击、为了从数据库中揭露数据而利用NoSQL数据库或使用NoSQL的Web应用的默认配置弱点。它这样命名是为了几年Bernardo DameleMiroslav创作的流行的SQL工具SQLmap,它的设计理念来源于Ming Chow在Defcon中发表的很棒的演讲-”Abusing NoSQL Databases”。该工具目前主要应用于MongoDB,但是它在未来的版本中还会支持其他基于NoSQL的平台,如CouchDB, RedisCassandra等。当前该项目的目的是为简单攻击MongoDB服务器一些web应用提供渗透测试工具,以及用通过概念攻击来证明某NoSQL应用不会受到SQL注入。主要功能:自动化MongoDBCouchDB数据库枚举克隆攻击。通过MongoDB web应用提取数据库名称、用户哈希密码。为使用默认访问枚举版本的MongoDBCouchDB数据库扫描子网或IP列表。字典攻击、暴力破解恢复的MongoDBCouchDB的哈希密码。针对MongoClient的PHP应用程序参数注入攻击,返回所有数据库中的记录。Javascript函数变量转移任意代码注入,返回所有数据库中的记录。类似于盲SQL注入的用于验证无来自应用程序的反馈的Javascript注入漏洞的时序攻击。使用方法启动./nosqlmap.py或python nosqlmap.py.基本菜单1-Set options (do this first) 2-NoSQL DB Access Attacks 3-NoSQL Web App attacks 4-Exit 标签:NoSQLMap
推荐两款SQL注入扫描工具|支持MongoDB
向阳-Y.的博客
11-07 1484
推荐两款SQL注入扫描工具: sqlmap nosqlattack是一款基于windows操作系统的扫描工具 不支持MongoDB数据库 下载地址及使用方法 nosqlattack工具 nosqlattack是一款基于linux操作系统的扫描工具 支持MongoDB数据库 下载地址: https://github.com/youngyangyang04/NoSQLAttack ...
NoSQL注入终极指南:从入门到实战的完整教程
最新发布
gitblog_00663的博客
04-22 389
NoSQL注入是Web应用安全中常见的漏洞类型,尽管NoSQL数据库不像传统SQL数据库那样使用结构化查询语言,但它们仍然可能受到注入攻击。本文将带您深入了解NoSQL注入的原理、常见攻击方法防御策略,帮助您全面掌握这一关键安全技能。 ## 什么是NoSQL注入NoSQL数据库提供了比传统SQL数据库更宽松的一致性限制,通过减少关系约束一致性检查,通常能提供更好的性能可扩展性。然而,
B站小迪安全笔记第十五天-SQL注入之Oracle,mongoDB注入
m0_61530426的博客
07-29 811
B站小迪安全笔记
NoSQLAttack工具下载与使用
永远是少年
07-15 1738
今天继续给大家介绍Linux运维相关知识,本文主要内容是NoSQLAttack工具下载与使用。 一、NoSQLAttack工具下载与安装 二、NoSQLAttack工具使用
NoSQLAttack针对 mongoDB攻击工具
weixin_43977912的博客
05-10 1532
介绍 NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击,使用这个工具就可以发现有成千上万的mongoDB裸奔在互联网上,并且数据可以随意下载。 NoSQL注入攻击测试系统NoSQLInjectionAttackDemo,这里面有两个系统用来测试注入攻击。 https://github.com/youngyangyang04/NoSQLInjectionAtt
NoSQLAttack 项目常见问题解决方案
gitblog_07454的博客
09-13 415
NoSQLAttack 项目常见问题解决方案 1. 项目基础介绍主要编程语言 NoSQLAttack 是一个开源的 Python 工具,旨在自动化利用互联网上的 MongoDB 服务器 IP,并通过 MongoDB 默认配置的弱点注入攻击来披露数据库数据。该项目主要关注 MongoDB,并基于一些研究论文扩展的攻击测试方法进行开发。 主要的编程语言是 Python,项目依赖于 Python ...
NoSQLAttack:揭秘NoSQL注入攻击的利器
gitblog_00640的博客
08-08 1033
NoSQLAttack:揭秘NoSQL注入攻击的利器 NoSQLAttackNoSQLAttack is an open source Python tool to automate exploit MongoDB server IP on Internet and disclose the database data by MongoDB default configuration weakn...
NoSQLAttack 项目推荐
gitblog_07455的博客
09-13 328
NoSQLAttack 项目推荐 1. 项目基础介绍主要编程语言 NoSQLAttack 是一个开源的 Python 工具,旨在自动化利用互联网上 MongoDB 服务器的默认配置弱点,并披露数据库数据。该项目主要使用 Python 编程语言开发,适用于对 NoSQL 数据库安全感兴趣的开发者安全研究人员。 2. 项目核心功能 NoSQLAttack 的核心功能包括: 自动化暴露 Mongo...
NoSQLAttack安装与配置完全指南
gitblog_07451的博客
09-13 710
NoSQLAttack安装与配置完全指南 项目基础介绍 NoSQLAttack 是一款基于Python的开源安全工具,专门设计用于自动化探测互联网上的MongoDB服务器的漏洞,并通过利用MongoDB默认配置弱点与注入攻击手段来披露数据库中的数据。该工具目前集中于MongoDB数据库的安全审计,灵感来源于多篇学术论文,如“Diglossia”“No SQL, No Injection”,并且...
NoSQLAttack 项目教程
gitblog_00567的博客
08-08 440
NoSQLAttack 项目教程 1、项目的目录结构及介绍 NoSQLAttack 是一个用于对 MongoDB 数据库进行 SQL 注入的渗透测试工具。以下是该项目的目录结构及其介绍: NoSQLAttack/ ├── docs/ # 文档目录 │ └── images/ # 文档中的图片 ├── LICENSE.md # ...
NOSQL学习(2)–MongoBD3.4.4安装
12-14
MongoBD3.4.4安装 下载链接 链接:https://pan.baidu.com/s/15s6AC4g9SvQtm9x4fU3MBA 提取码:42vp 开始安装 自定义安装位置 更换安装位置 开始安装 安装完成 在E:\NOSQL\mongoDB\目录下创建conf(配置)、data(数据)、logs(日志)文件夹 在conf文件夹下新建mongodb.config文件 在logs文件夹下,新建mongodb.log文件。 在mongodb.config文件内写入 dbpath=E:\NOSQL\mongoDB\data #数据库路径 logpath=E:\NOSQL
《小迪安全》第15天 SQL注入:Oracle,MongoDB注入
m0_56250796的博客
04-27 989
Access是非关系型数据库,直接保存在网站源码下(后缀.mdb),A网站的数据库直接保存在A网站源码目录下,B网站数据库直接保存在B网站源码目录下,互不相干。NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击Mongodb的查询文档方式与其他的数据库略微不同,当进行条件查询的时候,mysql是用where,而mongodb以键值对形式进行查询。
Web漏洞-access注入、Sql Sever(Mssql)注入、PostgreSql注入、Orache注入MongoDB注入、Oracle注入-SQLmap使用教程-附实例
ranzi.
01-15 2095
Mongodb的查询文档方式与其他的数据库略微不同,当进行条件查询的时候,mysql是用where,而mongodb是以键值对形式(类似于JSON)进行查询的。这里是一个跟Mysql数据库的一个不同的位置,PostgreSql数据库union select后用。因为access数据库不包含数据库名,所以直接从表名开始查询。最后将password解密后进入后台复制KEY提交即可。”,所以在注入过程中需要我们进行暴力猜解。------>注意与Mysql进行对比。在进行注入时,要注意对。sqlmap使用教程。
SQL注入-SQLmap-不同数据库注入
m0_52149675的博客
04-01 2959
SQL注入-不同数据库注入-注入工具的使用 简要学习各种数据库的注入特点 access,mysql, mssql , mongoDB,postgresql, sqlite,oracle,sybase等
mongodb 去重多字段_从零学习 NoSQL 注入Mongodb
weixin_39611161的博客
12-09 382
本文作者:ca01h(信安之路成长平台百分成员)本文难度虽然不是很大,不过文章相对完整,有理有据,值得分享。0x01 NoSQL MongoDB 简介NoSQLNoSQL 的概念就不赘述了,以下摘自菜鸟教程。NoSQL,指的是非关系型的数据库。NoSQL 有时也称作 Not Only SQL 的缩写,是对不同于传统的关系型数据库的数据库管理系统的统称。NoSQL 用于超大规模数据的存...
12-常见数据库注入工具简单使用
qq_56414082的博客
03-29 822
access,mysql, mssql , mongoDB,postgresql, sqlite,oracle,sybase等。
<小迪安全>15-SQL注入之Oracle,MangoDB
hackerXxxt的博客
03-11 167
Access,mysql mssql,mongoDB,postgresql,sqlite,oracle,sybass等。--JSON的双引号(前端语言)不需要闭合,需要闭合的是SQL语句中的单引号双引号。1.找支持MangoDB注入工具--NoSQLAttack(Linux环境)3.tojson函数可以输出json数据,不然只输出“数组”。Access注入时,如果列名或者表名猜解不到的情况。直接查表名,查取数据--可用字典跑一下。熟悉工具的支持库,注入模式,优缺点等。#简要学习各种数据库的注入特点。
SQL注入工具笔记
weixin_48450741的博客
08-06 135
sqlmap超详细笔记+思维导图 https://www.cnblogs.com/bmjoker/p/9326258.html NoSQLAttack----MongoDB python2.7 https://github.com/youngyangyang04/NoSQLAttack sqlmap https://github.com/sqlmapproject/sqlmap/zipball/master 墨者SQL注入文章 https://blog.csdn.net/qq_39936434/catego
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码随想录

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值