NoSQLMap是一个开源Python工具,旨在审计和自动注入攻击,利用NoSQL数据库中的默认配置弱点以及使用NoSQL的Web应用程序,以便从数据库中公开数据。
它被命名为对Bernardo Damele和Miroslav的Stampar流行的SQL注入工具sqlmap的致敬,它的概念是基于Ming Chow在Defcon 21上的优秀演示和“ 滥用NoSQL数据库 ”的扩展。
要求:
在基于Debian或Red Hat的系统上,setup.sh脚本可以作为root运行,以自动安装NoSQLMap的依赖项。
根据使用的功能而变化:
Metasploit框架
Python与PyMongo
httplib2的
的urllib
用于克隆数据库的本地默认MongoDB实例
特征:
自动MongoDB数据库枚举和克隆攻击。
针对MongoClient的PHP应用程序参数注入攻击,以返回所有数据库记录。
Javascript函数变量转义和任意代码注入返回所有数据库记录。
基于时序的攻击类似于盲SQL注入,以验证Javascript注入漏洞,而无需来自应用程序的反馈。