Mongodb注入

0x01 Brief Description

作为nosql(not only sql)数据库的一种，mongodb很强大，很多企业也在用到。相对于sql数据库,nosql数据库有以下优点：简单便捷、方便拓展、更好的性能

0x02 Produce the vulnerability

漏洞环境搭建：

kali2.0搭建的环境apt-get install mongodb，注意最好用aliyun的源，之前用的中科大的源，没有找到下载。

安装完成之后开启服务，见下图：

环境的搭建原型来自这里：

http://bobao.360.cn/learning/detail/2839.html

mongdb的配置见下图

 上图中可以看到mongodb默认是绑定到127.0.0.1，也就是说只允许本地访问，如果想要允许其它ip连接，只需要注释掉改行（不推荐，这样会导致未授权访问安全问题）。

关于mongodb开启认证以及创建角色的相关内容可以参考慕课网上的视频Mongodb安全

服务的开启

service mongodb start

查看数据库

show  dbs

查看集合

show collections

查看集合中的元素

db.collectionname.find()

数据的CURD就不细述了，最终的数据如下图所示：

GUI连接推荐使用mongovue，显示比较友好。

web端代码(记得安装mongodb模块 apt-get install php5-mongo)

<?php
echo "param is id :)";
if(!empty($_GET['id']))
{
    $m = new MongoClient();
    $id = $_GET['id'];
    if ($id=="1")
    {
        echo "You Can't access Admin's Account";
    }
    else
    {
        $db = $m->securitytest;
        $collection = $db->users;
        $qry = array("id"=> $_GET['id']);
        $cursor = $collection->find($qry);
        foreach($cursor as $document)
        {
            echo "<br>";
            echo "Username:".$document["username"]."<br>";
            echo "Password:".$document["password"]."<br>";
            echo "<br>";

        }
        
    }

}

题解：

打开页面如下图所示，知道这里的参数是id

这个时候输入参数id=1，提示不允许访问

输入参数id=3 显示如下：

然后我们知道mongodb有这样一个关键字 ne 就是not equal的意思

Syntax: {field: {$ne: value} }
$ne selects the documents where the value of the field is not equal (i.e. !=) to the specified value. This includes documents that do not contain the field.

 like this

 就是查询到了id不为1的数据

那在这里呢，我们就可以这样构造进行注入：

http://192.168.247.132/inj.php?id[$ne]=2

Flag get！

当然还可以继续爆出collections和dbs，可参考这里：https://www.secpulse.com/archives/3278.html

此外还应该注意nosql数据库的未授权访问的问题，常见的nosql数据库及端口

 0x03 Reference

相关学习视频：

http://www.imooc.com/video/5933

mongodb的中文文档：

http://docs.mongoing.com/manual-zh/

black nosql injection 视频后半部分

https://www.youtube.com/watch?v=ZYiTLZGK4AQ