NoSQLMap – Mengotomatiskan Database NoSQL dan Alat Eksploitasi Aplikasi Web

  • Whatsapp
NoSQLMap - Enumerasi database NoSQL otomatis dan alat eksploitasi aplikasi web

Tangkapan layar

NoSQLMap - Enumerasi database NoSQL otomatis dan alat eksploitasi aplikasi web


Tentang NoSQLMap
NoSQLMap adalah alat Python open source yang dirancang untuk mengaudit serta mengotomatisasi serangan injeksi dan mengeksploitasi kelemahan konfigurasi default dalam database NoSQL dan aplikasi web menggunakan NoSQL untuk mengungkapkan atau mengkloning data dari database.

Awalnya ditulis oleh @tcstoolHax0rdan sekarang dikelola oleh @codingo_NoSQLMap dinamai sebagai penghargaan untuk alat SQL Injection populer Bernardo Damele dan Miroslav’s Stampar SQLMap. Konsepnya didasarkan pada dan perluasan dari presentasi luar biasa Ming Chow di Defcon 21, “Menyalahgunakan Basis Data NoSQL“.

Apa itu NoSQL?
Basis data NoSQL (awalnya mengacu pada “non SQL”, “non relasional” atau “tidak hanya SQL”) menyediakan mekanisme untuk penyimpanan dan pengambilan data yang dimodelkan dengan cara selain hubungan tabular yang digunakan dalam basis data relasional. Basis data semacam itu telah ada sejak akhir 1960-an, tetapi tidak mendapatkan moniker “NoSQL” sampai lonjakan popularitas di awal abad kedua puluh satu, dipicu oleh kebutuhan perusahaan Web 2.0 seperti Facebook, Google, dan Amazon.com. Basis data NoSQL semakin banyak digunakan dalam data besar dan aplikasi web waktu nyata. Sistem NoSQL juga kadang-kadang disebut “Tidak hanya SQL” untuk menekankan bahwa mereka mungkin mendukung bahasa kueri seperti SQL.

Dukungan DBMS: Saat ini eksploitasi alat difokuskan di sekitar MongoDB, dan CouchDB tetapi dukungan tambahan untuk platform berbasis NoSQL lainnya seperti Redis, dan Cassandra direncanakan dalam rilis mendatang.

Persyaratan
* Kerangka Metasploit
* Python dengan PyMongo
* httplib2 dan urllib tersedia
* Instance MongoDB default lokal untuk mengkloning database. Memeriksa instruksi instalasi.

Instal dan jalankan
   git clone https://github.com/codingo/NoSQLMap (Unduh NoSQLMap)
   cd NoSQLMap
   sudo python setup.py install (Instal NoSQLMap)
   sudo python nosqlmap.py
atau…
   sudo NoSQLMap (Jalankan NoSQLMap)

Memperbarui: cd NoSQLMap && git pull

Petunjuk Penggunaan
Dimulai dari: sudo python nosqlmap.py atau sudo NoSQLMap

   NoSQLMap menggunakan sistem berbasis menu untuk membangun serangan. Saat memulai NoSQLMap Anda akan disajikan dengan menu utama:
      Opsi 1-Set (lakukan ini terlebih dahulu)
      Serangan Akses DB 2-NoSQL
      3-Serangan Aplikasi Web NoSQL
      4-Pindai untuk Akses MongoDB Anonim
      x-keluar

Penjelasan opsi:

Bacaan Lainnya

1. Set target host/IP-The target web server (i.e. www.google.com) or MongoDB server you want to attack.
2. Set web app port-TCP port for the web application if a web application is the target.
3. Set URI Path-The portion of the URI containing the page name and any parameters but NOT the host name (e.g. /app/acct.php?acctid=102).
4. Set HTTP Request Method (GET/POST)-Set the request method to a GET or POST; Presently only GET is implemented but working on implementing POST requests exported from Burp.
5. Set my local Mongo/Shell IP-Set this option if attacking a MongoDB instance directly to the IP of a target Mongo installation to clone victim databases to or open Meterpreter shells to.
6. Set shell listener port-If opening Meterpreter shells, specify the port.
7. Load options file-Load a previously saved set of settings for 1-6.
8. Load options from saved Burp request-Parse a request saved from Burp Suite and populate the web application options.
9. Save options file-Save settings 1-6 for future use.
x. Back to main menu-Use this once the options are set to start your attacks.

Setelah opsi diatur kembali ke menu utama dan pilih serangan akses DB atau serangan aplikasi web yang sesuai untuk apakah Anda menyerang port manajemen NoSQL atau aplikasi web. Sisa alat ini berbasis “penyihir” dan cukup jelas, tetapi kirim email ke [email protected] atau temukan saya di Twitter @codingo_ jika Anda memiliki pertanyaan atau saran.

Demo Serangan Manajemen MongoDB NoSQLMap

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *