NoSQLAttack - MongoDB默认配置攻击和注入攻击工具
2016-08-11 20:50
696 查看
Github: https://github.com/youngyangyang04/NoSQLAttack
这是一个mongoDB的注入工具,最简化用户操作来实现mongoDB默认配置攻击和注入攻击。使用这个工具就可以发现有成千上万的mongoDB裸奔在互联网上,并且数据可以随意下载
NoSQL注入攻击测试系统NoSQLInjectionAttackDemo:https://github.com/youngyangyang04/NoSQLInjectionAttackDemo,这里面有两个登录系统用来测试注入攻击
NoSQLAttack
介绍
NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击,使用这个工具就可以发现有成千上万的mongoDB裸奔在互联网上,并且数据可以随意下载。这个攻击工具是基于tcstool的NoSQLMap和搜索引擎shodan
一些攻击的数据是来自于以下论文给予的启发
Diglossia: Detecting Code Injection Attacks with Precision and Efficiency
No SQL, No Injection?
Several thousand MongoDBs without access control
on the Internet.
NoSQL注入攻击测试系统NoSQLInjectionAttackDemo,这里面有两个系统用来测试注入攻击。
运行环境
项目运行在linux系统上,NoSQLAttack的依赖包已经写在setup.py文件里,并且已经在ubantu和MAC OX上都测试了,只需要执行这个脚本就可以自动配置好安装环境 开发这个项目使用时使用的是Pycharm COMMUNITY 2016.1,python的版本为2.7.10,使用者需要在本地电脑安装mongoDB。
安装
在linux系统下可以直接将下载的项目解压,然后执行以下两个命令cd NoSQLAttack python setup.py install
使用方法
安装完毕后,执行一下命令就可以启动该项目NoSQLAttack
启动该项目后将会展现如下的界面,然后就可以开启黑客之旅了
================================================ _ _ _____ _____ _ | \ | | / ___|| _ | | | \| | ___ \ `--. | | | | | | . ` |/ _ \ `--. \| | | | | | |\ | (_) /\__/ /\ \/' / |____ \_| \_/\___/\____/ \_/\_\_____/ _ /\ _ _ | | _ / \ _| |_ _| | _____ ___ | | / / / /\ \ |_ _||_ _| / __ \ / __| | |/ / / /--\ \ | |_ | |_ | |_| | | |__ | |\ \ / / -- \ \ \___\ \___\ \______\ \___| | | \_\ ================================================ NoSQLAttack-v0.2 sunxiuyang04@gmail.com 1-Scan attacked IP 2-Configurate parameters 3-MongoDB Access Attacks 4-Injection Attacks x-Exit
相关文章推荐
- 微软发布3款SQL Injection(SQL 注入)攻击检测工具
- 微软发布3款SQL Injection(SQL 注入)攻击检测工具
- sql防止注入攻击( 转载)
- 著名的SQL流量注入(SQL注入)攻击法
- SQL注入自动扫描工具中的语句
- 黑客攻击之SQL注入
- PHP SQL 注入攻击的技术实现以及预防办法
- 防止"SQL的注入攻击"
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- asp.net防SQL/JS注入攻击:过滤标记
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 安全性测试:著名的SQL流量注入(SQL注入)攻击法
- [Ph4nt0m]_微软发布3款SQL_Injection攻击检测工具
- 最近网站接连被攻击 SQL 注入 常用手法
- 著名的SQL流量注入(SQL注入)攻击法
- 著名的SQL流量注入(SQL注入)攻击法
- 一次nmidahena.com/1.js 式sql 注入攻击的处理经历
- ASP。NET 中SQL防注入攻击
- Java应用中的SQL依赖注入攻击和防范
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性