NoSQLMap. Автоматизируем поиск инъекций

https://t.me/E7TEAM

E7 | TEAM

Введение:

В этой статье мы увидим работу инструмента NoSQLMap, которая позволит облегчить поиск инъекций в базах типа MongoDB.

О NoSQL уязвимостях мы говорили в прошлой статье, если коротко — SQL инъекция с другим синтаксисом.

По аналогии с SQLMap, софт позволяет автоматизировать поиск инъекции чем мы сейчас и займёмся.

Основное:

Первым делом — установка, скачиваем исходный код:

git clone https://github.com/codingo/NoSQLMap

Заходим в папку программы:

cd NoSQLMap

Теперь выполняем установку:

python setup.py install

После установки запустим утилиту:

python NoSQLMap
1-Set options (do this first)
2-NoSQL DB Access Attacks
3-NoSQL Web App attacks
4-Scan for Anonymous MongoDB Access
x-Exit

Как мы видим перед нами предстало простое меню, нам нужно задать опции, вводим 1.

1. Set target host/IP-The target web server (i.e. www.google.com) or MongoDB server you want to attack.
2. Set web app port-TCP port for the web application if a web application is the target.
3. Set URI Path-The portion of the URI containing the page name and any parameters but NOT the host name (e.g. /app/acct.php?acctid=102).
4. Set HTTP Request Method (GET/POST)-Set the request method to a GET or POST; Presently only GET is implemented but working on implementing POST requests exported from Burp. 
5. Set my local Mongo/Shell IP-Set this option if attacking a MongoDB instance directly to the IP of a target Mongo installation to clone victim databases to or open Meterpreter shells to.
6. Set shell listener port-If opening Meterpreter shells, specify the port.
7. Load options file-Load a previously saved set of settings for 1-6.
8. Load options from saved Burp request-Parse a request saved from Burp Suite and populate the web application options.
9. Save options file-Save settings 1-6 for future use.
x. Back to main menu-Use this once the options are set to start your attacks.

После установки всех значений возвращаемся в меню и вводим - 2, утилита начнет сканирования и мы сможем увидеть результаты!

Вывод:

NoSQLMap — прекрасная программа для тестирования инъекций в база типа ключ-значение и должна быть замечена в мире специалистов!

NoSQLMap. Автоматизируем поиск инъекций

Введение:

Основное:

Вывод:

Report Page