MongoDB未授权访问漏洞验证与修复过程

环境：Windows，MongoDB3.2

本文是Windows！Windows！Windows！环境下

一、漏洞验证

1.使用MSF验证

msfconsole
-------------进入msf-------------
search mongodb
use 1          #使用mongodb_login模块
show options
set RHOSTS ip  #设置你需验证的ip
set RPORT ***  #如果端口不是默认的27017，需要手动设置，是则跳过
exploit

可以看到该ip存在MongoDB未授权访问漏洞，没有进行身份验证

在这里插入图片描述

2.使用nmap验证

nmap -p 27017 --script mongodb-info ip  #设置你需验证的ip

在这里插入图片描述

二、修复

1. 寻找配置文件mongod.cfg（Windows下）

在这里插入图片描述

2. 在`# network interfaces`下插入以下代码

net:
  port:27017          #设置端口号
  bindIp:127.0.0.1    #设置只能本地访问
security:
  authorization: enabled  #开启授权

在这里插入图片描述

三、复现

可以看到连接被拒绝

在这里插入图片描述

posted @ 2022-12-29 09:57 Swaynie 阅读(1018) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· 墨者学院在线靶场WP

· IOS客户端、Android客户端安全性测试常见问题

· mongodb未授权访问漏洞复现

· mongdb未授权访问

· 【Web安全攻防从入门到精通】未授权访问漏洞

阅读排行：
· TypeScript + Deepseek 打造卜卦网站：技术与玄学的结合
· Manus的开源复刻OpenManus初探
· AI 智能体引爆开源社区「GitHub 热点速览」
· 从HTTP原因短语缺失研究HTTP/2和HTTP/3的设计差异
· 三行代码完成国际化适配，妙~啊~

公告

昵称： Swaynie
园龄： 4年10个月
粉丝： 1
关注： 3

+加关注

2025年3月

日

一

二

三

四

五

六

随笔分类

阅读排行榜

评论排行榜

1. 墨者学院在线靶场WP(1)

swaynie

MongoDB未授权访问漏洞验证与修复过程

一、漏洞验证

1.使用MSF验证

2.使用nmap验证

二、修复

1. 寻找配置文件mongod.cfg（Windows下）

2. 在`# network interfaces`下插入以下代码

三、复现

公告

搜索

最新随笔

我的标签

随笔分类

阅读排行榜

评论排行榜

最新评论

swaynie

MongoDB未授权访问漏洞验证与修复过程

一、漏洞验证

1.使用MSF验证

2.使用nmap验证

二、修复

1. 寻找配置文件mongod.cfg（Windows下）

2. 在# network interfaces下插入以下代码

三、复现

公告

搜索

最新随笔

我的标签

随笔分类

阅读排行榜

评论排行榜

最新评论

2. 在`# network interfaces`下插入以下代码