Github： https://github.com/youngyangyang04/NoSQLAttack

這是一個mongoDB的注入工具，最簡化用戶操作來實現(xiàn)mongoDB默認配置攻擊和注入攻擊。使用這個工具就可以發(fā)現(xiàn)有成千上萬的mongoDB裸奔在互聯(lián)網上，并且數(shù)據(jù)可以隨意下載

NoSQL注入攻擊測試系統(tǒng)NoSQLInjectionAttackDemo：https://github.com/youngyangyang04/NoSQLInjectionAttackDemo，這里面有兩個登錄系統(tǒng)用來測試注入攻擊

NoSQLAttack 介紹

NoSQLAttack 是一個用Python編寫的開源的攻擊工具，用來暴露網絡中默認配置mongoDB的IP并且下載目標mongoDB的數(shù)據(jù)，同時還可以針對以mongoDB為后臺存儲的應用進行注入攻擊，使用這個工具就可以發(fā)現(xiàn)有成千上萬的mongoDB裸奔在互聯(lián)網上，并且數(shù)據(jù)可以隨意下載。

一些攻擊的數(shù)據(jù)是來自于以下論文給予的啟發(fā)：

Diglossia: Detecting Code Injection Attacks with Precision and Efficiency

No SQL, No Injection?

Several thousand MongoDBs without access control on the Internet.

運行環(huán)境

項目運行在linux系統(tǒng)上，NoSQLAttack的依賴包已經寫在setup.py文件里，并且已經在ubantu和MAC OX上都測試了，只需要執(zhí)行這個腳本就可以自動配置好安裝環(huán)境 開發(fā)這個項目使用時使用的是Pycharm COMMUNITY 2016.1，python的版本為2.7.10，使用者需要在本地電腦安裝mongoDB。

安裝

在linux系統(tǒng)下可以直接將下載的項目解壓，然后執(zhí)行以下兩個命令

cd NoSQLAttack

python setup.py install

使用方法

安裝完畢后，執(zhí)行一下命令就可以啟動該項目

NoSQLAttack

啟動該項目后將會展現(xiàn)如下的界面，然后就可以開啟黑客之旅了