MongoDB未授权访问漏洞

神奇的海马体

于 2025-03-23 21:50:31 发布

阅读量513

点赞数 1

分类专栏：安全/漏洞相关文章标签： mongodb 数据库

海马体

本文链接：https://blog.youkuaiyun.com/weixin_45310323/article/details/146462724

版权

安全/漏洞相关专栏收录该内容

7 篇文章

订阅专栏

1、连接MongoDB，添加账号密码

mongo 127.0.0.1
use admin

db.createUser({
  user: 'admin',
  pwd: 'MongoDB123%.com',
  roles:[{
    role: 'root',
    db: 'admin'
  }]
})

创建admin用户，密码为：MongoDB123%.com

2、设置完成，可以通过指令 show users 查看是否设置成功

show users

{
        "_id" : "admin.admin",
        "userId" : UUID("4ea17f1a-53f1-481e-9021-6f3464c98ccf"),
        "user" : "admin",
        "db" : "admin",
        "roles" : [
                {
                        "role" : "root",
                        "db" : "admin"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}

3、认证方式

mongo 127.0.0.1/admin -u admin -p MongoDB123%.com

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

神奇的海马体

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

未授权访问：MongoDB未授权访问漏洞

qq_68163788的博客

05-09

6556

未经授权而访问MongoDB数据库的漏洞，攻击者可以利用这个漏洞来获取敏感数据、修改数据甚至破坏数据库。漏洞通常是由于管理员未正确配置访问控制、弱密码或者未及时更新数据库等原因导致的。为了防止未授权访问，管理员应该及时更新数据库版本、配置访问控制列表、使用强密码以及监控数据库访问日志等措施。通过加强安全措施和定期审查数据库权限，可以有效防止未授权访问漏洞的利用，保护数据库安全。

MongoDB 未授权访问漏洞

玄道的网安博客

07-02

1594

前言 MongoDB 是一个基于分布式文件存储的数据库 漏洞分析 Mongodb 在启动的时候提供了很多参数，如日志记录到哪个文件夹，是否开启认证等。造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库添加上账号密码（默认空口令），使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。环境搭建使用docker来搜索镜像，并拉取排名靠前的 docker search mongodb docker pull mongo

参与评论您还未登录，请先登录后发表或查看评论

数据库安全：MongoDB 未授权访问漏洞.（27017端口）

最新发布

网络安全领域___专研者.

07-30

1775

MongoDB是一个高性能的 NoSQL 数据库，它默认情况下不设置认证机制，这可能导致未授权访问漏洞。如果MongoDB服务在没有配置任何安全措施的情况下启动，任何用户都可以通过默认端口对数据库进行操作，包括增、删、改、查等高危动作，且可以远程访问数据库.

mongodb未授权漏洞

weixin_53884648的博客

10-09

8306

mongodb 未授权访问漏洞复现及修复方案总结

MongoDB未授权访问漏洞验证与修复过程

心想事成

12-29

4332

Windows环境下快速修复mongodb未授权

MongoDB未授权访问漏洞复现及docker.mongodb下--auth授权验证

negnegil的博客

09-08

4041

MongoDB未授权访问漏洞危害 MongoDB服务开放在公网上时，若未配置访问认证授权，则攻击者可无需认证即可连接数据库，对数据库进行任何操作（增、删、改、查等高危操作），并造成严重的敏感泄露风险。漏洞成因 MongoDB服务安装后，默认未开启权限认证，且服务监听在0.0.0.0.，会造成远程未授权访问漏洞在mongo数据库服务监听在0.0.0.0的情况下，若未在admin数据库中添加任何账号，且未使用–auth参数启动mongoDB服务，则会造成未授权访问（二者缺一不可）。只有添加在admin中添

MongoDB 未授权访问漏洞学习

ximo的博客

05-14

870

漏洞简介 MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库添加上账号密码（默认空口令），使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。环境搭建这里使用的是kali linux。 dock

mogodb未授权访问扫描脚本

07-16

mogodb未授权访问扫描脚本Python。实例：mogodbscan.py 192.168.1.1/24

MongoDB 未授权访问

m0_62207482的博客

03-02

1324

mongoDB默认会使用默认端口监听web服务，一般不需要通过 web 方式进行远程管理，建议禁用。#使用admin库db.addUser(“root”, “123456”) #添加用户名root密码 123456的用户db.auth(“root”,“123456”) #验证下是否添加成功，返回1说明成功。开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库，登录的用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。

MongoDB未授权漏洞

qq_45434762的博客

05-12

1161

Mongo未授权访问漏洞产生原因由于3.0版本以前MongoDB服务启用后监听地址为0.0.0.0，导致无需授权远程访问数据库利用方法mongo x.x.x.x 防御方法1、主机防火墙启用...

mongodb 未授权访问

qq_43615820的博客

05-25

342

MongoDB未授权访问_FLy_鹏程万里的博客-优快云博客_mongodb未授权非常不错，踩个脚印，防止丢失；

Mongodb未授权访问漏洞

01-12

881

Mongodb下载：https://www.mongodb.org/dl/win32/i386 1、下载msi 一路Next安装 2、创建数据目录，如：D:\mongodb\data\db 3、运行mongod.exe --dbpath D:\mongodb\data\db 参考链接： https://www.mongodb.org/dl/win32/...

MongoDB数据库未授权访问漏洞

Fighter1028

01-15

2236

近日通过推获悉“北京某监控公司的数据库没设置密码，导致可随意访问大量公共摄像头的视频信息，漏洞估计还没修复，虽然IP被打码，只要扫描北京所有网段有未授权访问漏洞的27017端口，存在漏洞的IP还是能找的到。实际操作也不复杂，安装namp后执行nmap -iL ip.txt -p 27017 --script=mongodb-info” 然后我们进行分析漏洞并复现此漏洞，图片虽然被打马赛克，但...

MongoDB未授权访问

Fly_鹏程万里

06-07

4126

漏洞简介开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库添加上账号密码（默认空口令），使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。漏洞复现环境介绍目标靶机: Kali ip地址: 192.168.18.128 连接工具:Xshell ..