文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Nosqli:一款功能强大的NoSQL注入命令行接口工具

2024-12-03 14:37

关注

Nosqli是一款功能强大的NoSql注入命令行接口工具,本质上来说,它就是一款NoSQL扫描和注入工具。Nosqli基于Go语言开发,是一款易于使用的NoSql注入工具,并且提供了完整的命令行接口,而且支持安全研究人员根据自己的需要来进行自定义配置。

该工具的运行速度非常快,而且扫描结果准确,具备高可用性。除此之外,其命令行接口的使用也非常简单。

[[359906]]

功能介绍

Nosqli当前支持针对MongoDB的NoSql注入检测,该工具目前可以执行下列测试:

工具下载

广大研究人员请直接访问该项目的Releases页面并现在对应操作系统的最新版本Nosqli。下载完成后,安装在指定路径,或直接从本地文件目录中运行。


工具使用

广大研究人员可以直接按照下列方式直接运行注入命令或查看帮助信息。

  1. $ nosqli 
  2.  
  3. NoSQLInjector is a CLI tool for testing Datastores that 
  4.  
  5. do not depend on SQL as a query language. 
  6.  
  7.   
  8.  
  9. nosqli aims to be a simple automation tool for identifying and exploiting 
  10.  
  11. NoSQL Injection vectors. 
  12.  
  13.   
  14.  
  15. Usage: 
  16.  
  17.   nosqli [command] 
  18.  
  19.   
  20.  
  21. Available Commands: 
  22.  
  23.   help        Help about any command 
  24.  
  25.   scan        Scan endpoint for NoSQL Injection vectors 
  26.  
  27.   version     Prints the current version 
  28.  
  29.   
  30.  
  31. Flags: 
  32.  
  33.       --config string       config file (default is $HOME/.nosqli.yaml) 
  34.  
  35.   -d, --data string         Specify default post data (should not include any injection strings) 
  36.  
  37.   -h, --help                help for nosqli 
  38.  
  39.   -p, --proxy string        Proxy requests through this proxy URL. Defaults to HTTP_PROXY environment variable. 
  40.  
  41.   -r, --request string      Load in a request from a file, such as a request generated in Burp or ZAP. 
  42.  
  43.   -t, --target string       target url eg. http://site.com/page?arg=1 
  44.  
  45.   -u, --user-agent string   Specify a user agent 
  46.  
  47.   
  48.  
  49. Use "nosqli [command] --help" for more information about a command. 
  50.  
  51.   
  52.  
  53. $ nosqli scan -t http://localhost:4000/user/lookup?username=test 
  54.  
  55. Running Error based scan... 
  56.  
  57. Running Boolean based scan... 
  58.  
  59. Found Error based NoSQL Injection: 
  60.  
  61.   URL: http://localhost:4000/user/lookup?=&username=test 
  62.  
  63.   param: username 
  64.  
  65.   Injection: username=' 

大家可以使用存在漏洞的NodeJS应用程序或其他的NoSql注入实验平台来测试该工具的使用。

源码构建

如果大家想要自行动手构建源码,或针对特定的平台进行源码编译,大家可以先按照下列方式将该项目源码克隆至本地,然后安装依赖,最后手动构建项目。这里要求设备上安装好最新的Go开发远景,然后配置好GOPATH环境变量。

  1. $ git clone https://github.com/Charlie-belmer/nosqli 
  2.  
  3. $ cd nosqli 
  4.  
  5. $ go get ./.. 
  6.  
  7. $ go install 
  8.  
  9. $ nosqli -h 

运行测试

该工具自带了一个测试套件,研究人员可以在该项目根目录下运行go test来进行简单的注入检测:

  1. go test ./... 

除此之外,Nosqli还提供了针对本地运行的已知易受攻击应用程序来进行注入的测试集。要使用集成测试,请安装并运行易受攻击的NodeJS Mongo注入应用程序,或者我提供的PHP Lab。接下来,我们需要在运行命令时提供集成参数:

  1. go test ./... -args -integrations=true 

项目地址

Nosqli:【GitHub传送门

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯