工具介绍

NoSQLAttack 是一个用python编写的开源的攻击工具，用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据，同时还可以针对以mongoDB为后台存储的应用进行注入攻击，使用这个工具就可以发现有成千上万的mongoDB裸奔在互联网上，并且数据可以随意下载。

在NoSQL注入攻击中有PHP数组注入，js注入和mongo shell拼接注入等多种方法可以攻击mongoDB，并且现在有成千上万的mongoDB暴露在互联网上，只要知道目标mongoDB的ip和端口号就可以把裸露的mongoDB中的数据都下载下来。

运行环境

项目运行在linux系统上，NoSQLAttack的依赖包已经写在setup.py文件里，并且已经在ubuntu和MAC OS上都测试了，只需要执行这个脚本就可以自动配置好安装环境 开发这个项目使用时使用的是Pycharm 2016.1，python的版本为2.7.10，使用者需要在本地电脑安装mongoDB。

安装

在linux系统下可以直接将下载的项目解压，然后执行以下两个命令
cd NoSQLAttack
python setup.py install

使用方法

 

文章来源：