MongoDB未授权访问漏洞

漏洞复现

前言

  本次搭建环境均在docker进行
 

环境搭建

docker search mongodb  # 从Docker Hub查找镜像
docker pull mongo  #从镜像仓库中拉取或者更新指定镜像
docker images mongo #列出本地主机上的mongo镜像
docker run -d -p 27017:27017 --name mongodb mongo  # 创建一个新的容器并运行一个命令
docker ps # 显示正在运行的容器

漏洞验证

  1.使用msf

use auxiliary/scanner/mongodb/mongodb_login
set rhosts 192.168.127.132
run

  2.使用NoSQLBooster
  点击test connection测试连接

  出现ok后,测试连接成功点击close,回到主界面,点击Save & Connect

后记

  百度搜了,google也搜了,完全没有一篇关于getshell的文章,所以这个漏洞只造成了信息泄露吗?

本文标题:MongoDB未授权访问漏洞

文章作者:麦当

发布时间:2020-12-03, 09:46:45

最后更新:2020-12-03, 09:46:45

原始链接:https://maidang.cool/2020/41987.html

许可协议: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

查看评论 -
评论