Nosqli：一款功能强大的NoSql注入命令行接口工具

HACK1949 · 2022年11月4日

Nosqli：一款功能强大的NoSql注入命令行接口工具

Nosqli

Nosqli是一款功用强大的NoSql注入指令行接口东西，本质上来说，它就是一款NoSQL扫描和注入东西。Nosqli依据Go语言开发，是一款易于运用的NoSql注入东西，并且供给了完整的指令行接口，并且支撑安全研究人员依据自己的需求来进行自定义配置。

该东西的运转速度十分快，并且扫描成果精确，具备高可用性。除此之外，其指令行接口的运用也十分简单。

功用介绍

Nosqli当前支撑针对MongoDB的NoSql注入检测，该东西现在能够执行下列测验：

依据过错的测验：注入各种字符和Payload，扫描已知的Mongo过错呼应；
布尔盲注测验：注入包含True/False参数的Payload，并测验判别是否存在注入点；
依据时间的测验：测验向目标服务器注入时间延迟，并依据呼应判别是否存在注入点；

东西下载

广阔研究人员请直接访问该项目的Releases页面并现在对应操作系统的最新版本Nosqli。下载完成后，装置在指定途径，或直接从本地文件目录中运转。

东西运用

广阔研究人员能够直接按照下列方法直接运转注入指令或检查帮助信息。

$ nosqli

NoSQLInjector is a CLI tool for testing Datastores that

do not depend on SQL as a query language.

 

nosqli aims to be a simple automation tool for identifying and exploiting

NoSQL Injection vectors.

 

Usage:

  nosqli [command]

 

Available Commands:

  help        Help about any command

  scan        Scan endpoint for NoSQL Injection vectors

  version     Prints the current version

 

Flags:

      --config string       config file (default is $HOME/.nosqli.yaml)

  -d, --data string         Specify default post data (should not include any injection strings)

  -h, --help                help for nosqli

  -p, --proxy string        Proxy requests through this proxy URL. Defaults to HTTP_PROXY environment variable.

  -r, --request string      Load in a request from a file, such as a request generated in Burp or ZAP.

  -t, --target string       target url eg. http://site.com/page?arg=1

  -u, --user-agent string   Specify a user agent

 

Use "nosqli [command] --help" for more information about a command.

 

$ nosqli scan -t http://localhost:4000/user/lookup?username=test

Running Error based scan...

Running Boolean based scan...

Found Error based NoSQL Injection:

  URL: http://localhost:4000/user/lookup?=&username=test

  param: username

  Injection: username='

大家能够运用存在缝隙的NodeJS应用程序或其他的NoSql注入试验平台来测验该东西的运用。

源码构建

如果大家想要自行着手构建源码，或针对特定的平台进行源码编译，大家能够先按照下列方法将该项目源码克隆至本地，然后装置依靠，最终手动构建项目。这儿要求设备上装置好最新的Go开发前景，然后配置好GOPATH环境变量。

$ git clone https://github.com/Charlie-belmer/nosqli

$ cd nosqli

$ go get ./..

$ go install

$ nosqli -h

运转测验

该东西自带了一个测验套件，研究人员能够在该项目根目录下运转go test来进行简单的注入检测：

go test ./...

除此之外，Nosqli还供给了针对本地运转的已知易受攻击应用程序来进行注入的测验集。要运用集成测验，请装置并运转易受攻击的NodeJS Mongo注入应用程序，或许我供给的PHP Lab。接下来，我们需求在运转指令时供给集成参数：

go test ./... -args -integrations=true

项目地址

Nosqli：【GitHub传送门】

登录

游客您好，欢迎来到黑客世界论坛！您可以在这里进行注册。

Nosqli：一款功能强大的NoSql注入命令行接口工具

问题

HACK1949

Nosqli：一款功能强大的NoSql注入命令行接口工具

Nosqli

功用介绍

东西下载

东西运用

源码构建

运转测验

项目地址

链接帖子

意见的链接

分享到其他网站

这个问题有0个答案

推荐的帖子

黑客攻防讨论组

黑客攻防讨论组

最近浏览 0位会员

黑客世界站内导航 (SITE MAP)