hacktricks/network-services-pentesting/27017-27018-mongodb.md

# 27017,27018 - Pentesting MongoDB

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

<figure><img src="../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>

**HackenProof é o lar de todas as recompensas por bugs de criptografia.**

**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.

**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.

**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.

[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!

{% embed url="https://hackenproof.com/register" %}

## Informações Básicas

O MongoDB é um sistema de gerenciamento de banco de dados (DBMS) de código aberto que utiliza um modelo de banco de dados orientado a documentos e suporta várias formas de dados. (De [aqui](https://searchdatamanagement.techtarget.com/definition/MongoDB))

**Porta padrão:** 27017, 27018
```
PORT      STATE SERVICE VERSION
27017/tcp open  mongodb MongoDB 2.6.9 2.6.9
```
### Enumeração

#### Manual

A enumeração manual é um processo de coleta de informações sobre um serviço MongoDB. Isso pode ser feito usando comandos e ferramentas específicas para obter detalhes sobre a instância do MongoDB em execução.

#### Verificação de porta

A primeira etapa é verificar se a porta 27017 (padrão do MongoDB) está aberta. Isso pode ser feito usando a ferramenta `nmap` da seguinte maneira:

```
nmap -p 27017 <alvo>
```

Se a porta estiver aberta, isso indica que o serviço MongoDB está em execução.

#### Conexão ao MongoDB

Após verificar a porta, você pode tentar se conectar ao serviço MongoDB usando o cliente `mongo`:

```
mongo <alvo>:27017
```

Se a conexão for bem-sucedida, você será apresentado ao prompt do MongoDB.

#### Coleta de informações

Uma vez conectado ao MongoDB, você pode usar comandos específicos para coletar informações sobre a instância, como:

- `db.version()`: exibe a versão do MongoDB em execução.
- `show dbs`: lista os bancos de dados disponíveis.
- `use <nome_do_banco_de_dados>`: seleciona um banco de dados específico.
- `show collections`: lista as coleções disponíveis no banco de dados selecionado.
- `db.<nome_da_coleção>.find()`: exibe os documentos na coleção selecionada.

Essas informações podem ser úteis para entender a estrutura e o conteúdo do banco de dados MongoDB.

#### Exploração de vulnerabilidades conhecidas

Além da enumeração manual, é importante verificar se a instância do MongoDB possui vulnerabilidades conhecidas. Isso pode ser feito usando ferramentas como o `MongoDB Exploit Framework` (https://github.com/peterjson/mongo-exploit) ou pesquisando por exploits específicos.

É importante lembrar que a exploração de vulnerabilidades sem permissão é ilegal e deve ser realizada apenas em um ambiente controlado e autorizado, como parte de um teste de penetração.
```python
from pymongo import MongoClient
client = MongoClient(host, port, username=username, password=password)
client.server_info() #Basic info
#If you have admin access you can obtain more info
admin = client.admin
admin_info = admin.command("serverStatus")
cursor = client.list_databases()
for db in cursor:
print(db)
print(client[db["name"]].list_collection_names())
#If admin access, you could dump the database also
```
**Alguns comandos do MongoDB:**

```bash
# Show databases
# Mostrar bancos de dados
show databases

# Use a specific database
# Usar um banco de dados específico
use <database_name>

# Show collections in the current database
# Mostrar coleções no banco de dados atual
show collections

# Insert a document into a collection
# Inserir um documento em uma coleção
db.<collection_name>.insertOne({<document>})

# Find documents in a collection
# Encontrar documentos em uma coleção
db.<collection_name>.find({<query>})

# Update documents in a collection
# Atualizar documentos em uma coleção
db.<collection_name>.updateOne({<query>}, {<update>})

# Delete documents from a collection
# Excluir documentos de uma coleção
db.<collection_name>.deleteOne({<query>})
```

**Note:** Replace `<database_name>`, `<collection_name>`, `<document>`, `<query>`, and `<update>` with the appropriate values.
```bash
show dbs
use <db>
show collections
db.<collection>.find()  #Dump the collection
db.<collection>.count() #Number of records of the collection
db.current.find({"username":"admin"})  #Find in current db the username admin
```
### Automático

O MongoDB é um banco de dados NoSQL popular que utiliza um modelo de armazenamento de documentos. Ele é amplamente utilizado em aplicações web e móveis devido à sua flexibilidade e escalabilidade. No entanto, como qualquer outro serviço de rede, o MongoDB também pode ser alvo de ataques.

Neste capítulo, discutiremos algumas técnicas de pentesting para identificar e explorar vulnerabilidades em instâncias do MongoDB. Vamos nos concentrar nas portas 27017 e 27018, que são as portas padrão para o serviço MongoDB.

#### Verificando a porta 27017

A primeira etapa é verificar se a porta 27017 está aberta em um determinado alvo. Podemos fazer isso usando ferramentas de varredura de portas, como o Nmap. O comando a seguir verifica se a porta 27017 está aberta em um determinado endereço IP:

```
nmap -p 27017 <endereço IP>
```

Se a porta estiver aberta, isso indica que o serviço MongoDB está em execução nesse endereço IP.

#### Enumeração de bancos de dados

Uma vez que tenhamos confirmado que o serviço MongoDB está em execução, podemos prosseguir com a enumeração dos bancos de dados disponíveis. Podemos usar a ferramenta `mongo` para se conectar ao serviço MongoDB e listar os bancos de dados:

```
mongo --host <endereço IP> --port 27017
show databases
```

Isso nos dará uma lista de todos os bancos de dados disponíveis no servidor MongoDB.

#### Enumeração de coleções

Após identificar os bancos de dados, podemos prosseguir com a enumeração das coleções dentro de cada banco de dados. Podemos usar o comando `show collections` para listar todas as coleções em um determinado banco de dados:

```
use <nome do banco de dados>
show collections
```

Isso nos dará uma lista de todas as coleções disponíveis no banco de dados selecionado.

#### Extraindo dados

Uma vez que tenhamos identificado as coleções de interesse, podemos extrair os dados dessas coleções. Podemos usar o comando `db.<nome da coleção>.find()` para listar todos os documentos em uma determinada coleção:

```
use <nome do banco de dados>
db.<nome da coleção>.find()
```

Isso nos dará todos os documentos presentes na coleção selecionada.

#### Explorando vulnerabilidades

Além da enumeração básica, também podemos explorar vulnerabilidades específicas do MongoDB, como a injeção de comandos. Essa técnica envolve a inserção de comandos maliciosos em consultas do MongoDB para obter acesso não autorizado ou executar ações indesejadas.

Existem várias ferramentas disponíveis para automatizar a exploração de vulnerabilidades no MongoDB, como o Metasploit Framework e o MongoSniff. Essas ferramentas podem ajudar a identificar e explorar vulnerabilidades conhecidas no serviço MongoDB.

No entanto, é importante lembrar que a exploração de vulnerabilidades em sistemas sem autorização é ilegal e antiético. Essas técnicas devem ser usadas apenas para fins de teste de penetração em sistemas autorizados.
```bash
nmap -sV --script "mongo* and default" -p 27017 <IP> #By default all the nmap mongo enumerate scripts are used
```
### Shodan

* Todos os mongodb: `"informações do servidor mongodb"`
* Pesquisar por servidores mongodb totalmente abertos: `"informações do servidor mongodb" -"parcialmente habilitado"`
* Apenas habilitar parcialmente a autenticação: `"informações do servidor mongodb" "parcialmente habilitado"`

## Login

Por padrão, o mongo não requer senha.\
**Admin** é um banco de dados comum do mongo.
```bash
mongo <HOST>
mongo <HOST>:<PORT>
mongo <HOST>:<PORT>/<DB>
mongo <database> -u <username> -p '<password>'
```
O script do nmap: _**mongodb-brute**_ irá verificar se são necessárias credenciais.
```bash
nmap -n -sV --script mongodb-brute -p 27017 <ip>
```
### [**Força bruta**](../generic-methodologies-and-resources/brute-force.md#mongo)

Verifique dentro de _/opt/bitnami/mongodb/mongodb.conf_ para saber se são necessárias credenciais:
```bash
grep "noauth.*true" /opt/bitnami/mongodb/mongodb.conf | grep -v "^#" #Not needed
grep "auth.*true" /opt/bitnami/mongodb/mongodb.conf | grep -v "^#\|noauth" #Not needed
```
## Previsão de Mongo Objectid

Os IDs de objeto do Mongo são strings hexadecimais de **12 bytes**:

![](../.gitbook/assets/id-and-objectids-in-mongodb.png)

Por exemplo, aqui está como podemos analisar um ID de objeto real retornado por um aplicativo: 5f2459ac9fa6dc2500314019

1. 5f2459ac: 1596217772 em decimal = Sexta-feira, 31 de julho de 2020 17:49:32
2. 9fa6dc: Identificador da máquina
3. 2500: ID do processo
4. 314019: Um contador incremental

Dos elementos acima, o identificador da máquina permanecerá o mesmo enquanto o banco de dados estiver executando na mesma máquina física/virtual. O ID do processo só mudará se o processo do MongoDB for reiniciado. O timestamp será atualizado a cada segundo. O único desafio em adivinhar os IDs de objeto simplesmente incrementando os valores do contador e do timestamp é o fato de que o Mongo DB gera IDs de objeto e atribui IDs de objeto em nível de sistema.

A ferramenta [https://github.com/andresriancho/mongo-objectid-predict](https://github.com/andresriancho/mongo-objectid-predict), dado um ID de objeto inicial (você pode criar uma conta e obter um ID inicial), retorna cerca de 1000 IDs de objeto prováveis que poderiam ter sido atribuídos aos próximos objetos, então você só precisa forçar a entrada.

## Post

Se você é root, pode **modificar** o arquivo **mongodb.conf** para que não sejam necessárias credenciais (_noauth = true_) e **fazer login sem credenciais**.

<figure><img src="../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>

**HackenProof é o lar de todas as recompensas por bugs de criptografia.**

**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.

**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.

**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.

[**Cadastre-se no HackenProof**](https://hackenproof.com/register) e comece a ganhar com seus hacks!

{% embed url="https://hackenproof.com/register" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>