0x00 NoSQL 基础

什么是 NoSQL 数据库?

• NoSQL（NoSQL= Not Only SQL），意即“不仅仅是 SQL"，泛指非关系型的数据库 。

• 随着互联网 web2.0 网站的兴起，传统的关系数据库在应付 web2.0 网站，特别是超大规模和高并发的 SNS 类型的 web2.0 纯动态网站已经显得力不从心，暴露了很多难以克服的问题，而非关系型的数据库则由于其本身的特点得到了非常迅速的发展。NoSQL 数据库的产生就是为了解决大规模数据集合多重数据种类 带来的挑战，尤其是大数据应用难题，包括超大规模数据的存储。

为什么要用 NoSQL?

• 随着互联网的不断发展， 各类型的应用层出不穷,在这个云计算的时代,对技术提出了更多的需求,主要体现在这四个方面:

• 低延迟的读写速度 ：应用快速的反应能极大地提升用户的满意度

• 海量的数据和流量 ：对于搜索这样大型应用而言，需要利用 PB 级别的数据和能应对百万级的流量

• 大规模集群的管理 ：分布式应用能更简单的部罟和管理

• 庞大运营成本的考量 ：在硬件成本、软件成本和人力成本能够有大幅度地降低

• 举例：例如谷歌或 Facebook 每天为他们的用户收集万亿比特的数据。这些类型的数据存储不需要固定的模式，无需多余操作就可以横向扩展

NoSQL 与 SQL 的区别

NoSQL 的代表数据库

• MongDB、Redis、Memcache

NoSQL 的应用

• 目前许多大型互联网项目都会选用 MySQL(或任何关系型数据库) + NoSQL 的组合方案

• 举例：

• 关系型数据库适合存储结构化数据 ，如用户的帐号、地址：

  • 这些数据通常需要做结构化查询

  • 这些数据的规模、增长的速度通常是可以预期的

  • 事务性、一致性

• NoSQL 适合存储非结构化数据 ，如文章、评论：

  • 这些数据通常用于模糊处理 ，如全文搜索、机器学习

  • 这些数据是海量的 ，而且增长的速度是难以预期的

  • 根据数据的特点，NoSQL 数据库通常具有无限(至少接近)伸缩性

  • 按 key 获取数据效率很高，但是对 join 或其他结构化査询的支持就比铰差

0x01 MongoDB 基础

MongoDB 介绍

• MongoDB 是流行的 NoSQL 数据库，它是个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。默认端口号为 27017

• MongoDB 的特点

  • MongoDB 和其他的数据库一样，都支持常见存储操作，但是它可以存储任何的数据，包括文件。

  • MongoDB 允许在服务端执行脚本，可以用 javascript 编写某个函数，直接在服务端执行，也可以把函数的定义存储在服务端,下次直接调用即可。

  • MongoDB 数据操作使用 JSON 形式的标记。

  • MongoDB 支持各种编程语言：RUBY，PYTHON，JAVA，C++，PHP，C#等多种语言。

  • MongoDB 使用 db 关键字代表当前数据库。

MongoDB 语句

MongoDB 数据类型

MongoDB 基本 操作

• MongDB的启动

• 开启服务： sudo mongodb

• 登陆 mongodb数据库：mongodb --host 127.0.0.1

• 数据库的操作

  • 查看所有的数据库：show dbs

  • 切换数据库：use数据库名

  • 查看集合: show collections

  • 数据库的创建：use 数据库名。有值自动创建 。当use的时候，系统就会自动创建—个数据库。

  • 删除数据库：进入数据库后db.dropDatabase();

• 注意：如果没有选择任何数据库，会删除默认的test数据库

• 集合的操作

  • 查看集合：show collections

  • 创建集合：db.createCollection("xxx")

  • 删除集合：db.xxx.drop()

• 文档(行)的增删改

  • 增加数据：db.xx.insert({key:value})

  • 举例：db.chunqiu.insert({id:1,name:"web",age:10})

  • 删除数据: db.xx.remove(删除的条件)

  • 全部删除：db.xx.remove({})

  • 根据条件删除，默认是删除所有符合条件的数据: db.xx.remove({age:10})

  • 只删除符合条件的第一个: db.xx.remove({gender:true},{justOne:true})

  • 更改操作：db.update({查找的条件},{修改的内容})

  • 修改内容：默认其他原有字段删除了，替换掉原有数据：db.xx.update({age:10},{name:"NoSQL"})

  • 保持原有的字段，加一个修饰$set：默认只修改第一个且对已存在的原有属性是替换，不存在的属性是添加

db.stu.update({age:10}, {$set:{like:"study"}})

说明：把like:"study"添加到数据里面，并不是换

• 文档查询简单语句：

  • 基本查询：db.xx.find({查询条件})

  • 查询所有的数据: db.xx.find() 或db.xx.find()

  • 默认查出所有符合条件的数据：db.xx.find({age:10})

  • 查找符合条件的第一个：db.xx.findOne({age:10})

  • 格式化输出— pretty()函数：db.xx.find({age:10}).pretty()

• 常用条件

• 条件查询:

• 举例：

  • db.xx.find({age:{$lt:20}}) 查询年龄小于20岁的

  • db.xx.find({age:{$ne:18}}) 查询年龄不等于18岁的

• 逻辑运算：$and , $or

• $and：默认的的查询条件就是且的关系

  • 举例：

  • db.xx.find({age:28,gender:true})

  • db.xx.find({$and :[age:28},{gender:true}]}) 查询年龄是28岁且性别为女

• $or：或的关系

  • 举例：

  • db.xx.find({$or :[age:{$lt:30},{gender:false}]}) 查询年龄小于30岁, 或者性别为男

0x02 NoSQL注入分类

• Web应用和服务通常使用 NoSQL数据库去保存客户数据。图为典型web应用架构。该程序自身可能不易受到攻击，但有时它们提供了不安全的API ，当应用开发人员错误地使用它们时就会给该应用引入漏洞，这些漏洞会被人利用对数据库进行
  任意操作。

• NoSQL注入分为4种

1. 重言式/永真式(重要)

2. JavaScript注λ(难度较大)

3. 联合查询注入(被淘汰)

4. mongoshell拼接注入(难度中等，危害大)、

• 语言、代码逻辑角度分类(3种)：

1. PHP数组注入

2. JS注入

3. Mongoshell拼接注入

• 攻击手段角度分类(3种)

1. 重言式(永真式)

2. 联合查询

3. Javascript注入

重言式注入

• 什么是重言式注入?

• 重言式又称为永真式。此类攻击是在条件语句中注入代码，使生成的表达式判定结果永远为真 ，从而绕过认证或访问机制使用 Mongo DB进行数据库查询的过程:

• MongoDB将查询语句存放在数组中，再将数组带入数据库进行查询。此过程安全性较高，不存在单引号闭合的问题。但是由于PHP的特性导致注入仍然存在。

• 解释：

就PHP本身的性质而言，由于其松散的数组特性，导致如果我们输λ value=1那么。也就是输入了一个 value的值为1的数据。如果输 value[$ne]=2，也就意味着value=array($ne=>2)，在MongoDb得角度来，很有可能从原来的个单个目标的查询变成了条件查询
从 xxx.find({'key':'A'}) ====> xxx.find({'key':{$ne:'A'}})

• 防御：可以通过函数 is_array将输入参数转变字符串类型来解决

db->logins->find(array("username"=>(string)$_POST["username"],"password"=>(string)$_POST["password"]));

• 注意:

1. 必须要结合PHP语言才能导致重言式注入(依据PHP语言的特性)，ASP没有永真式注入

2. 如果是POST方法传参，可以结合 Burp Suite抓包、改包进行绕过。

3. 使用正则表达式也可以构造永真式如:

username[$regex]=.*?&password[$regex]=.*?         # .*?为匹配所有字符串

JavaScript注入

• 什么是 JavaScript注入?

• 这是一种新的漏洞由允许执行数据内容中 JavaScript 的 NOSQL数据库引入的。 JavaScript使在数据引擎进行复杂事务和查询成为可能。传递不干净的用广输入到这些查询中可以注入任意 JavaScript代码这会导致非法的数据获取或篡改

• 注入产生的原因

1. MongoDB中$where操作符是可以执行 JavaScript语句的。

2. 在PHP语言中是不能直接写入 JavaScript语句的,需要写在字符串中。使用字符串就会引用到单引号和双引号,因此容易出现闭合的问题

3. 在 MongoDB2.4之前，通过$ where操作符使用 map-reduce、 group命令可以访问到 mongo shell中的全局函数和属性也就是说可以操作数据库中的数据。

• 在$query中使用了$where操作符执行 JavaScript语言，其中$username和 $password使用了字符串拼接的方式
  所以可以尝试构造闭合语句 进行注入攻击。

• 根据代码，可以控制 admin和 password进行闭合，构造出 payload

• 如：通过闭合单引号，插入代码：n';return true;var a='

• 提交执行的 Javascript代码为

• 在输入用户名后就返回了true，所以只要输入任意密码就可以成功登陆了。

• 注意：

• 闭合的方法有很多，只要 return的值为真即可。、

• 该注入方法较难，主要是因为 payload不易构造，在有源码的情况下容易构造闭合语句，没有源码只能猜测。

• $where执行的 JavaScript语句只能进行简单的逻辑操作。

mongo shell拼接注入

• mongoshell是什么?

• MongoShell是一个互动的 JavaScript接口的 Mongo DB,可以使用M。 ngo Shell来查询和更新数据以及执行管理操作。可以连接到在运行的 MongoDB实例

• 产生的原因

• PHP中,通过** executeCommand** 可以执行she命令,可以直接执行语句。同样是存在字符串拼接的问题,因此通过使用单引号、双引号构造闭合语句 ，就可以执行任意的语句。

• 危害

• 可以通过构造的语句对数据库进行任意操作,包括增删改查。

• 因为 mongo shell的语句比较好猜测，所以构造 payload的难度不高，且危害较大。

• 以上图代码为例，$cmd是根据时间排倒序，其中$username采用字符串拼接的方式，因此可以构造双引
  号闭合攻击，之后通过 executeCommand 可以直接执行语句，造成攻击