- A+
所属分类:漏洞复现
0x01 简介
MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。
MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似
json格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系
数据库单表查询的绝大部分功能,而且还支持对数据建立索引。
0x02 漏洞复现
探测服务:
漏洞验证:
使用第三方客户端连接:
0x03 修复建议
1、修改默认端口
修改默认的mongoDB端口(默认为: TCP 27017)为其他端口
2、不要开放服务到公网
|
1 2 |
vim /etc/mongodb.conf bind_ip = 127.0.0.1 |
3、禁用HTTP和REST端口
4、为MongoDB添加认证
MongoDB启动时添加--auth参数、为MongoDB添加用户
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
