MongoDB介绍
MongoDB数据库是基于分布式存储的数据库,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。
漏洞发现过程
使用扫描器发现某网站具有此漏洞,开始验证漏洞。
攻击过程
使用msf,需要设置rhost和threads。
rhost目标ip地址
threads线程数
exploit执行
此处涉及敏感信息以隐藏。
发现执行成功说明有此漏洞。
使用连接数据库工具:
下载地址:https://www.nosqlbooster/
选择自己操作系统安装。
打开软件
以连接的数据库。
漏洞危害,修补方式
可在数据库内执行操作语句,可以完成删库等操作,属于高危漏洞,希望开发人员尽快修补。
修补方式:
1.修改默认端口27017。
2.禁止公网访问数据库
更多推荐
MongoDB无授权访问数据库
发布评论