NoSQLMap Tool - Alat exploit otomatis suatu database



NoSQLMap adalah open source Python berbasis otomatis alat eksploitasi NoSQL MongoDB yang dirancang untuk mengaudit serta mengotomatisasi serangan injeksi dan mengeksploitasi konfigurasi default kelemahan dalam database NoSQL. Ini juga dimaksudkan untuk menyerang aplikasi web menggunakan NoSQL untuk mengungkap data dari database.

Apa itu NoSQLMap?


Saat ini eksploitasi alat terfokus di sekitar MongoDB, tetapi dukungan tambahan untuk platform berbasis NoSQL lainnya seperti CouchDB, Redis, dan Cassandra direncanakan dalam rilis mendatang.

A NoSQL (awalnya mengacu pada "non SQL", "non-relasional" atau "tidak hanya SQL") database menyediakan mekanisme untuk penyimpanan dan pengambilan data yang dimodelkan dengan cara selain hubungan tabular yang digunakan dalam database relasional. Database semacam itu sudah ada sejak akhir 1960-an, tetapi tidak mendapatkan moniker "NoSQL" sampai lonjakan popularitas pada awal abad ke dua puluh satu, dipicu oleh kebutuhan perusahaan Web 2.0 seperti Facebook, Google, dan Amazon.com.

Database NoSQL semakin banyak digunakan dalam big data dan aplikasi web real-time. Sistem NoSQL juga kadang-kadang disebut "Tidak hanya SQL" untuk menekankan bahwa mereka dapat mendukung bahasa query seperti SQL.

Dan jika Anda memperhatikan, Anda akan tahu bahwa Anda memerlukan bantuan dengan Keamanan MongoDB.

Persyaratan untuk Eksploitasi NoSQL MongoDB

Pada sistem berbasis Debian atau Red Hat, skrip setup.sh dapat dijalankan sebagai root untuk mengotomatiskan instalasi dependensi NoSQLMap.

Bervariasi berdasarkan fitur yang digunakan:


  • Kerangka Metasploit,



  • Python dengan PyMongo,



  • httplib2,



  • dan urllib 



  • Contoh MongoDB default lokal untuk kloning basis data

Ada beberapa kontrol lain yang diperlukan bahwa instalasi Python normal seharusnya sudah tersedia. Jarak tempuh Anda mungkin bervariasi, periksa skripnya.


NoSQLMap Opsi Pengaturan Peretasan MongoDB


  • Tetapkan host target / IP-Server web target (yaitu www.google.com) atau server MongoDB yang ingin Anda serang.



  • Setel port port-TCP aplikasi web untuk aplikasi web jika aplikasi web adalah target.



  • Setel Jalur URI - Bagian dari URI yang berisi nama halaman dan parameter apa pun, tetapi BUKAN nama host (mis. /app/acct.php?acctid=102).



  • Set Metode Permintaan HTTP (GET / POST) -Mengatur metode permintaan ke GET atau POST; Saat ini hanya GET yang diterapkan tetapi bekerja untuk menerapkan permintaan POST yang diekspor dari Burp.



  • Atur Mongo / Shell IP-Set lokal opsi ini jika menyerang instance MongoDB langsung ke IP dari instalasi Mongo target untuk mengkloning database korban ke atau membuka shell Meterpreter ke.



  • Setel port pendengar shell-Jika membuka shell Meterpreter, tentukan port.



  • Muat opsi file-Muat satu set pengaturan yang disimpan sebelumnya untuk 1-6.


Opsi pemuatan dari permintaan Burp yang tersimpan-Mengurai permintaan yang disimpan dari Burp Suite dan mengisi opsi aplikasi web.

Simpan opsi file  pengaturan 1-6 untuk penggunaan di masa nantinya.


Anda dapat mengunduh NoSQLMap di sini:

NoSQLMap-0.5.zip

Artikel Terkait

NoSQLMap Tool - Alat exploit otomatis suatu database
4/ 5
Oleh

Berlangganan

Suka dengan artikel di atas? Silakan berlangganan gratis via email