27017,27018 - Pentesting MongoDB
Deneyimli hackerlar ve ödül avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hackleme İçgörüleri Hackleme heyecanını ve zorluklarını ele alan içeriklerle etkileşime girin
Gerçek Zamanlı Hack Haberleri Hızlı tempolu hackleme dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın
En Son Duyurular Yeni ödül avı başlatmaları ve önemli platform güncellemeleri hakkında bilgilenin
Bize katılın Discord ve bugün en iyi hackerlarla işbirliğine başlayın!
Temel Bilgiler
MongoDB, çeşitli veri biçimlerini işlemek için belge odaklı veritabanı modeli kullanan bir açık kaynaklı veritabanı yönetim sistemidir. Büyük veri analitiği ve içerik yönetimi gibi uygulamalarda yapısal olmayan veya yarı yapısal verileri yönetmek için esneklik ve ölçeklenebilirlik sunar. Varsayılan port: 27017, 27018
Numaralandırma
Manuel
Bazı MongoDB komutları:
Otomatik
Shodan
Tüm mongodb:
"mongodb sunucu bilgisi"
Tamamen açık mongodb sunucularını arayın:
"mongodb sunucu bilgisi" -"kısmen etkin"
Yalnızca kısmen kimlik doğrulamayı etkinleştirin:
"mongodb sunucu bilgisi" "kısmen etkin"
Giriş
Varsayılan olarak mongo şifre gerektirmez. Admin, yaygın bir mongo veritabanıdır.
Nmap betiği: mongodb-brute, kimlik bilgilerinin gerekip gerekmediğini kontrol edecektir.
Kimlik bilgilerinin gerekip gerekmediğini öğrenmek için /opt/bitnami/mongodb/mongodb.conf dosyasına bakın:
Mongo Objectid Tahmini
Örnek buradan.
Mongo Object ID'leri 12 baytlık onaltılık dizilerdir:
Örneğin, bir uygulama tarafından döndürülen gerçek bir Object ID'yi nasıl analiz edebileceğimizi görelim: 5f2459ac9fa6dc2500314019
5f2459ac: 1596217772 ondalıkta = Cuma, 31 Temmuz 2020 17:49:32
9fa6dc: Makine Tanımlayıcı
2500: İşlem Kimliği
314019: Artan sayaç
Yukarıdaki unsurlardan, makine tanımlayıcısı veritabanı aynı fiziksel/virüs makinesinde çalıştığı sürece aynı kalacaktır. İşlem Kimliği yalnızca MongoDB işlemi yeniden başlatıldığında değişecektir. Zaman damgası her saniyede güncellenecektir. Sadece sayaç ve zaman damgası değerlerini basitçe artırarak Object ID'leri tahmin etmede tek zorluk, Mongo DB'nin Object ID'leri oluşturduğu ve Object ID'leri sistem düzeyinde atadığı gerçeğidir.
https://github.com/andresriancho/mongo-objectid-predict aracı, başlangıç Object ID'si verildiğinde (bir hesap oluşturabilir ve bir başlangıç ID alabilirsiniz), bir sonraki nesnelere atandığı tahmin edilebilecek yaklaşık 1000 Object ID döndürür, bu yüzden sadece onları kaba kuvvetle çözmeniz gerekir.
Gönderi
Root kullanıcısıysanız, mongodb.conf dosyasını değiştirerek kimlik bilgilerine ihtiyaç duyulmadan (noauth = true) giriş yapabilirsiniz.
Deneyimli hackerlar ve hata avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri Hacking'in heyecanını ve zorluklarını inceleyen içeriklerle etkileşime geçin
Gerçek Zamanlı Hack Haberleri Hızlı tempolu hacking dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın
En Son Duyurular Yeni hata avcılıklarının başlatılması ve önemli platform güncellemeleri hakkında bilgi edinin
Bize Katılın Discord ve bugün en iyi hackerlarla işbirliğine başlayın!
Last updated