hacktricks/src/network-services-pentesting/27017-27018-mongodb.md

# 27017,27018 - Pentesting MongoDB

{{#include ../banners/hacktricks-training.md}}

## Podstawowe informacje

**MongoDB** to system zarządzania bazą danych **open source**, który wykorzystuje **model bazy danych oparty na dokumentach** do obsługi różnych form danych. Oferuje elastyczność i skalowalność w zarządzaniu danymi niestrukturalnymi lub półstrukturalnymi w aplikacjach takich jak analityka big data i zarządzanie treścią. **Domyślny port:** 27017, 27018
```
PORT      STATE SERVICE VERSION
27017/tcp open  mongodb MongoDB 2.6.9 2.6.9
```
## Enumeracja

### Ręczna
```python
from pymongo import MongoClient
client = MongoClient(host, port, username=username, password=password)
client.server_info() #Basic info
#If you have admin access you can obtain more info
admin = client.admin
admin_info = admin.command("serverStatus")
cursor = client.list_databases()
for db in cursor:
print(db)
print(client[db["name"]].list_collection_names())
#If admin access, you could dump the database also
```
**Niektóre komendy MongoDB:**
```bash
show dbs
use <db>
show collections
db.<collection>.find()  #Dump the collection
db.<collection>.count() #Number of records of the collection
db.current.find({"username":"admin"})  #Find in current db the username admin
```
### Automatyczny
```bash
nmap -sV --script "mongo* and default" -p 27017 <IP> #By default all the nmap mongo enumerate scripts are used
```
### Shodan

- Wszystkie mongodb: `"mongodb server information"`
- Szukaj pełnych otwartych serwerów mongodb: `"mongodb server information" -"partially enabled"`
- Tylko częściowo włączona autoryzacja: `"mongodb server information" "partially enabled"`

## Login

Domyślnie mongo nie wymaga hasła.\
**Admin** to powszechna baza danych mongo.
```bash
mongo <HOST>
mongo <HOST>:<PORT>
mongo <HOST>:<PORT>/<DB>
mongo <database> -u <username> -p '<password>'
```
Skrypt nmap: _**mongodb-brute**_ sprawdzi, czy potrzebne są dane uwierzytelniające.
```bash
nmap -n -sV --script mongodb-brute -p 27017 <ip>
```
### [**Brute force**](../generic-hacking/brute-force.md#mongo)

Sprawdź w _/opt/bitnami/mongodb/mongodb.conf_, aby dowiedzieć się, czy potrzebne są dane uwierzytelniające:
```bash
grep "noauth.*true" /opt/bitnami/mongodb/mongodb.conf | grep -v "^#" #Not needed
grep "auth.*true" /opt/bitnami/mongodb/mongodb.conf | grep -v "^#\|noauth" #Not needed
```
## Mongo Objectid Predict

Przykład [stąd](https://techkranti.com/idor-through-mongodb-object-ids-prediction/).

Mongo Object IDs to **12-bajtowe szesnastkowe** ciągi:

![http://techidiocy.com/_id-objectid-in-mongodb/](../images/id-and-ObjectIds-in-MongoDB.png)

Na przykład, oto jak możemy rozłożyć rzeczywisty Object ID zwrócony przez aplikację: 5f2459ac9fa6dc2500314019

1. 5f2459ac: 1596217772 w systemie dziesiętnym = piątek, 31 lipca 2020 17:49:32
2. 9fa6dc: Identyfikator maszyny
3. 2500: Identyfikator procesu
4. 314019: Licznik inkrementacyjny

Z powyższych elementów, identyfikator maszyny pozostanie taki sam tak długo, jak baza danych działa na tej samej fizycznej/wirtualnej maszynie. Identyfikator procesu zmieni się tylko, jeśli proces MongoDB zostanie zrestartowany. Znacznik czasu będzie aktualizowany co sekundę. Jedynym wyzwaniem w zgadywaniu Object IDs poprzez po prostu inkrementowanie wartości licznika i znacznika czasu, jest fakt, że Mongo DB generuje Object IDs i przypisuje Object IDs na poziomie systemowym.

Narzędzie [https://github.com/andresriancho/mongo-objectid-predict](https://github.com/andresriancho/mongo-objectid-predict), podając początkowy Object ID (możesz założyć konto i uzyskać początkowy ID), zwraca około 1000 prawdopodobnych Object IDs, które mogły zostać przypisane do następnych obiektów, więc wystarczy je bruteforce'ować.

## Post

Jeśli jesteś rootem, możesz **zmodyfikować** plik **mongodb.conf**, aby nie były potrzebne żadne poświadczenia (_noauth = true_) i **zalogować się bez poświadczeń**.

---

{{#include ../banners/hacktricks-training.md}}