Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-24 21:53:54 +00:00

Translator c977a9316f Translated ['README.md', 'generic-methodologies-and-resources/pentesting

2023-07-31 17:51:15 +00:00

14 KiB

Raw Blame History

27017,27018 - Pentesting MongoDB

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Adquira o swag oficial do PEASS & HackTricks
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e para o repositório hacktricks-cloud.

HackenProof é o lar de todas as recompensas por bugs de criptografia.

Seja recompensado sem atrasos
As recompensas do HackenProof são lançadas apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.

Adquira experiência em pentesting web3
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.

Torne-se a lenda do hacker web3
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.

Cadastre-se no HackenProof comece a ganhar com seus hacks!

{% embed url="https://hackenproof.com/register" %}

Informações Básicas

O MongoDB é um sistema de gerenciamento de banco de dados (DBMS) de código aberto que utiliza um modelo de banco de dados orientado a documentos e suporta várias formas de dados. (De aqui)

Porta padrão: 27017, 27018

PORT      STATE SERVICE VERSION
27017/tcp open  mongodb MongoDB 2.6.9 2.6.9

Enumeração

Manual

A enumeração manual é um processo de coleta de informações sobre um serviço MongoDB. Isso pode ser feito usando comandos e ferramentas específicas para obter detalhes sobre a instância do MongoDB em execução.

Verificação de porta

A primeira etapa é verificar se a porta 27017 (padrão do MongoDB) está aberta. Isso pode ser feito usando a ferramenta nmap da seguinte maneira:

nmap -p 27017 <alvo>

Se a porta estiver aberta, isso indica que o serviço MongoDB está em execução.

Conexão ao MongoDB

Após verificar a porta, você pode tentar se conectar ao serviço MongoDB usando o cliente mongo:

mongo <alvo>:27017

Se a conexão for bem-sucedida, você será apresentado ao prompt do MongoDB.

Coleta de informações

Uma vez conectado ao MongoDB, você pode usar comandos específicos para coletar informações sobre a instância, como:

db.version(): exibe a versão do MongoDB em execução.
show dbs: lista os bancos de dados disponíveis.
use <nome_do_banco_de_dados>: seleciona um banco de dados específico.
show collections: lista as coleções disponíveis no banco de dados selecionado.
db.<nome_da_coleção>.find(): exibe os documentos na coleção selecionada.

Essas informações podem ser úteis para entender a estrutura e o conteúdo do banco de dados MongoDB.

Exploração de vulnerabilidades conhecidas

Além da enumeração manual, é importante verificar se a instância do MongoDB possui vulnerabilidades conhecidas. Isso pode ser feito usando ferramentas como o MongoDB Exploit Framework (https://github.com/peterjson/mongo-exploit) ou pesquisando por exploits específicos.

É importante lembrar que a exploração de vulnerabilidades sem permissão é ilegal e deve ser realizada apenas em um ambiente controlado e autorizado, como parte de um teste de penetração.

from pymongo import MongoClient
client = MongoClient(host, port, username=username, password=password)
client.server_info() #Basic info
#If you have admin access you can obtain more info
admin = client.admin
admin_info = admin.command("serverStatus")
cursor = client.list_databases()
for db in cursor:
print(db)
print(client[db["name"]].list_collection_names())
#If admin access, you could dump the database also

Alguns comandos do MongoDB:

# Show databases
# Mostrar bancos de dados
show databases

# Use a specific database
# Usar um banco de dados específico
use <database_name>

# Show collections in the current database
# Mostrar coleções no banco de dados atual
show collections

# Insert a document into a collection
# Inserir um documento em uma coleção
db.<collection_name>.insertOne({<document>})

# Find documents in a collection
# Encontrar documentos em uma coleção
db.<collection_name>.find({<query>})

# Update documents in a collection
# Atualizar documentos em uma coleção
db.<collection_name>.updateOne({<query>}, {<update>})

# Delete documents from a collection
# Excluir documentos de uma coleção
db.<collection_name>.deleteOne({<query>})

Note: Replace <database_name>, <collection_name>, <document>, <query>, and <update> with the appropriate values.

show dbs
use <db>
show collections
db.<collection>.find()  #Dump the collection
db.<collection>.count() #Number of records of the collection
db.current.find({"username":"admin"})  #Find in current db the username admin

Automático

O MongoDB é um banco de dados NoSQL popular que utiliza um modelo de armazenamento de documentos. Ele é amplamente utilizado em aplicações web e móveis devido à sua flexibilidade e escalabilidade. No entanto, como qualquer outro serviço de rede, o MongoDB também pode ser alvo de ataques.

Neste capítulo, discutiremos algumas técnicas de pentesting para identificar e explorar vulnerabilidades em instâncias do MongoDB. Vamos nos concentrar nas portas 27017 e 27018, que são as portas padrão para o serviço MongoDB.

Verificando a porta 27017

A primeira etapa é verificar se a porta 27017 está aberta em um determinado alvo. Podemos fazer isso usando ferramentas de varredura de portas, como o Nmap. O comando a seguir verifica se a porta 27017 está aberta em um determinado endereço IP:

nmap -p 27017 <endereço IP>

Se a porta estiver aberta, isso indica que o serviço MongoDB está em execução nesse endereço IP.

Enumeração de bancos de dados

Uma vez que tenhamos confirmado que o serviço MongoDB está em execução, podemos prosseguir com a enumeração dos bancos de dados disponíveis. Podemos usar a ferramenta mongo para se conectar ao serviço MongoDB e listar os bancos de dados:

mongo --host <endereço IP> --port 27017
show databases

Isso nos dará uma lista de todos os bancos de dados disponíveis no servidor MongoDB.

Enumeração de coleções

Após identificar os bancos de dados, podemos prosseguir com a enumeração das coleções dentro de cada banco de dados. Podemos usar o comando show collections para listar todas as coleções em um determinado banco de dados:

use <nome do banco de dados>
show collections

Isso nos dará uma lista de todas as coleções disponíveis no banco de dados selecionado.

Extraindo dados

Uma vez que tenhamos identificado as coleções de interesse, podemos extrair os dados dessas coleções. Podemos usar o comando db.<nome da coleção>.find() para listar todos os documentos em uma determinada coleção:

use <nome do banco de dados>
db.<nome da coleção>.find()

Isso nos dará todos os documentos presentes na coleção selecionada.

Explorando vulnerabilidades

Além da enumeração básica, também podemos explorar vulnerabilidades específicas do MongoDB, como a injeção de comandos. Essa técnica envolve a inserção de comandos maliciosos em consultas do MongoDB para obter acesso não autorizado ou executar ações indesejadas.

Existem várias ferramentas disponíveis para automatizar a exploração de vulnerabilidades no MongoDB, como o Metasploit Framework e o MongoSniff. Essas ferramentas podem ajudar a identificar e explorar vulnerabilidades conhecidas no serviço MongoDB.

No entanto, é importante lembrar que a exploração de vulnerabilidades em sistemas sem autorização é ilegal e antiético. Essas técnicas devem ser usadas apenas para fins de teste de penetração em sistemas autorizados.

nmap -sV --script "mongo* and default" -p 27017 <IP> #By default all the nmap mongo enumerate scripts are used

Shodan

Todos os mongodb: "informações do servidor mongodb"
Pesquisar por servidores mongodb totalmente abertos: "informações do servidor mongodb" -"parcialmente habilitado"
Apenas habilitar parcialmente a autenticação: "informações do servidor mongodb" "parcialmente habilitado"

Por padrão, o mongo não requer senha.
Admin é um banco de dados comum do mongo.

mongo <HOST>
mongo <HOST>:<PORT>
mongo <HOST>:<PORT>/<DB>
mongo <database> -u <username> -p '<password>'

O script do nmap: mongodb-brute irá verificar se são necessárias credenciais.

nmap -n -sV --script mongodb-brute -p 27017 <ip>

Força bruta

Verifique dentro de /opt/bitnami/mongodb/mongodb.conf para saber se são necessárias credenciais:

grep "noauth.*true" /opt/bitnami/mongodb/mongodb.conf | grep -v "^#" #Not needed
grep "auth.*true" /opt/bitnami/mongodb/mongodb.conf | grep -v "^#\|noauth" #Not needed

Previsão de Mongo Objectid

Os IDs de objeto do Mongo são strings hexadecimais de 12 bytes:

Por exemplo, aqui está como podemos analisar um ID de objeto real retornado por um aplicativo: 5f2459ac9fa6dc2500314019

5f2459ac: 1596217772 em decimal = Sexta-feira, 31 de julho de 2020 17:49:32
9fa6dc: Identificador da máquina
2500: ID do processo
314019: Um contador incremental

Dos elementos acima, o identificador da máquina permanecerá o mesmo enquanto o banco de dados estiver executando na mesma máquina física/virtual. O ID do processo só mudará se o processo do MongoDB for reiniciado. O timestamp será atualizado a cada segundo. O único desafio em adivinhar os IDs de objeto simplesmente incrementando os valores do contador e do timestamp é o fato de que o Mongo DB gera IDs de objeto e atribui IDs de objeto em nível de sistema.

A ferramenta https://github.com/andresriancho/mongo-objectid-predict, dado um ID de objeto inicial (você pode criar uma conta e obter um ID inicial), retorna cerca de 1000 IDs de objeto prováveis que poderiam ter sido atribuídos aos próximos objetos, então você só precisa forçar a entrada.

Post

Se você é root, pode modificar o arquivo mongodb.conf para que não sejam necessárias credenciais (noauth = true) e fazer login sem credenciais.