MongoDB无授权访问数据库

MongoDB介绍

MongoDB数据库是基于分布式存储的数据库，是非关系数据库当中功能最丰富，最像关系数据库的。它支持的数据结构非常松散，是类似json的bson格式，因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大，其语法有点类似于面向对象的查询语言，几乎可以实现类似关系数据库单表查询的绝大部分功能，而且还支持对数据建立索引。

漏洞发现过程

使用扫描器发现某网站具有此漏洞，开始验证漏洞。

攻击过程

使用msf，需要设置rhost和threads。

rhost目标ip地址
threads线程数
exploit执行

此处涉及敏感信息以隐藏。

发现执行成功说明有此漏洞。

使用连接数据库工具:

下载地址：https://www.nosqlbooster/

选择自己操作系统安装。

打开软件

以连接的数据库。

漏洞危害，修补方式

可在数据库内执行操作语句，可以完成删库等操作，属于高危漏洞，希望开发人员尽快修补。
修补方式：
1.修改默认端口27017。
2.禁止公网访问数据库