NoSQLMap是一款开源的NoSQL数据库注入攻击工具,用于Python平台。它能实现自动化MongoDB和CouchDB数据库枚举和克隆攻击,对数据库安全有兴趣的小伙伴可以下载学习攻击方式以及数据库安全方面的经验。
NoSQL数据库有哪些
1、MongoDB
2、CouchDB
3、Hbase
4、cassandra
5、Hypertable
6、Redis
7、Tokyo Cabinet/Tokyo Tyant
8、Flare
9、Berkeley DB
10、memcachedb
11、Memlink
12、db4o
13、Versant
14、Neo4j
15、BaseX
软件功能
自动化MongoDB和CouchDB数据库枚举和克隆攻击。
通过MongoDB web应用提取数据库名称、用户和哈希密码。
为使用默认访问和枚举版本的MongoDB和CouchDB数据库扫描子网或IP列表。
字典攻击、暴力破解恢复的MongoDB和CouchDB的哈希密码。
针对MongoClient的PHP应用程序参数注入攻击,返回所有数据库中的记录。
Javascript函数变量转移和任意代码注入,返回所有数据库中的记录。
类似于盲SQL注入的用于验证无来自应用程序的反馈的Javascript注入漏洞的时序攻击。
更新日志
0.6 builds
Web应用攻击,增加支持发送用户提供的headers(感谢gpapakyriakopoulos)
Web应用攻击,迁移所有来自urllib到rullib2的requests到 support header input(感谢 gpapakyriakopoulos)
修Bug,没有提供GET方法的url参数将会导致AttributeError异常(感谢gpapakyriakopoulos)
接口,纠正输出中的拼写错误(感谢akash0x53)
设置,增加新的安装过程,该过程使用Python的setuptool而不依赖BASH,并且它能够成功的独立安装(感谢akash0x53)
实现第二阶段代码清理,剥离尾部空格(感谢akash0x53)
Web应用攻击,增加针对PHP/ExpressJS应用的$gt no value攻击。感谢 Petko D. Petkov!
Web应用攻击,纠正影响PHP和ExpressJS关联数组的攻击的标签。
∨ 展开