si1ent

MongoDB审计工具

2020-10-14

概述

强大的 MongoDB 审计和渗透性测试(pentesting)工具。用于审计 MongoDB 服务器,检测不良安全设置和执行自动渗透测试。

MongonDB配置安全检查工具

1
https://github.com/stampery/mongoaudit

Install

1
2
3
pip install mongoaudit
或如下安装
curl -s https://mongoaud.it/install | bash

image-20200929211504801

Docker install mongodb

1
2
3
4
5
6
7
8
9
# 拉取镜像
docker pull mongo
# 运行并授权访问mongodb
docker run -itd --name mongo -p 27017:27017 mongo --auth
docker exec -it mongo mongo admin
# 创建一个名为 admin,密码为 123456 的用户。
> db.createUser({ user:'admin',pwd:'123456',roles:[ { role:'userAdminAnyDatabase', db: 'admin'},"readWriteAnyDatabase"]});
# 设置密码
> db.auth('admin', '123456')

使用

1、安装无报错即可执行“mongoaudit

image-20200930103553876

2、点击“OK,I’ll be careful”

image-20200930111959162

Mongoaudit scan types
3、输入域名信息

image-20200930112054225

4、输入域名及密码进行安全检查

1
mongodb://admin:123456@192.168.3.77:27017/database

image-20200930115800598

5、检查结果

image-20200930115946711

Tags: MongoDB
重放攻击 JWT安全及CTF实战
使用支付宝打赏
使用微信打赏

若你觉得我的文章对你有帮助,欢迎点击上方按钮对我打赏

扫描二维码,分享此文章