Nosqli:一款功能強大的NoSql注入命令行接口工具
2020-12-25 51ctoNosqli:一款功能強大的NoSql注入命令行接口工具
Nosqli是一款功能強大的NoSql注入命令行接口工具,本質上來說,它就是一款NoSQL掃描和注入工具。
- 作者:Alpha_h4ck來源:FreeBuf|2020-12-24 17:08
Nosqli
Nosqli是一款功能強大的NoSql注入命令行接口工具,本質上來說,它就是一款NoSQL掃描和注入工具。Nosqli基於Go語言開發,是一款易於使用的NoSql注入工具,並且提供了完整的命令行接口,而且支持安全研究人員根據自己的需要來進行自定義配置。
該工具的運行速度非常快,而且掃描結果準確,具備高可用性。除此之外,其命令行接口的使用也非常簡單。
功能介紹
Nosqli當前支持針對MongoDB的NoSql注入檢測,該工具目前可以執行下列測試:
- 基於錯誤的測試:注入各種字符和Payload,掃描已知的Mongo錯誤響應;
- 布爾盲注測試:注入包含True/False參數的Payload,並嘗試判斷是否存在注入點;
- 基於時間的測試:嘗試向目標伺服器注入時間延遲,並根據響應判斷是否存在注入點;
工具下載
廣大研究人員請直接訪問該項目的Releases頁面並現在對應作業系統的最新版本Nosqli。下載完成後,安裝在指定路徑,或直接從本地文件目錄中運行。
工具使用
廣大研究人員可以直接按照下列方式直接運行注入命令或查看幫助信息。
- $ nosqli
- NoSQLInjector is a CLI tool for testing Datastores that
- do not depend on SQL as a query language.
- nosqli aims to be a simple automation tool for identifying and exploiting
- NoSQL Injection vectors.
- Usage:
- nosqli [command]
- Available Commands:
- help Help about any command
- scan Scan endpoint for NoSQL Injection vectors
- version Prints the current version
- Flags:
- --config string config file (default is $HOME/.nosqli.yaml)
- -d, --data string Specify default post data (should not include any injection strings)
- -h, --help help for nosqli
- -p, --proxy string Proxy requests through this proxy URL. Defaults to HTTP_PROXY environment variable.
- -r, --request string Load in a request from a file, such as a request generated in Burp or ZAP.
- -t, --target string target url eg. http://site.com/page?arg=1
- -u, --user-agent string Specify a user agent
- Use "nosqli [command] --help" for more information about a command.
- $ nosqli scan -t http://localhost:4000/user/lookup?username=test
- Running Error based scan...
- Running Boolean based scan...
- Found Error based NoSQL Injection:
- URL: http://localhost:4000/user/lookup?=&username=test
- param: username
- Injection: username='
大家可以使用存在漏洞的NodeJS應用程式或其他的NoSql注入實驗平臺來測試該工具的使用。
源碼構建
如果大家想要自行動手構建源碼,或針對特定的平臺進行源碼編譯,大家可以先按照下列方式將該項目源碼克隆至本地,然後安裝依賴,最後手動構建項目。這裡要求設備上安裝好最新的Go開發遠景,然後配置好GOPATH環境變量。
- $ git clone https://github.com/Charlie-belmer/nosqli
- $ cd nosqli
- $ go get ./..
- $ go install
- $ nosqli -h
運行測試
該工具自帶了一個測試套件,研究人員可以在該項目根目錄下運行go test來進行簡單的注入檢測:
- go test ./...
除此之外,Nosqli還提供了針對本地運行的已知易受攻擊應用程式來進行注入的測試集。要使用集成測試,請安裝並運行易受攻擊的NodeJS Mongo注入應用程式,或者我提供的PHP Lab。接下來,我們需要在運行命令時提供集成參數:
- go test ./... -args -integrations=true
項目地址
Nosqli:【GitHub傳送門】
【責任編輯:
趙寧寧TEL:(010)68476606】
相關焦點
-
命令行工具開發:如何快速實現命令行提示?
阿里妹導讀:對於稍微複雜一些的命令行工具,命令行的提示功能必不可少。那麼對於不同語言的開發者,有沒有一種簡單快捷的實現方式呢?本文分享一種快速實現的方法,使用YAML文件定義命令行工具的使用規範,再通過工具自動生成各種shell的命令行提示腳本,最後分享一些至關重要的命令行解析器。 -
一天1300 Star量,GitHub上新官方命令行工具
機器之心報導 參與:思 不想用命令行操作 GitHub 的開發者,不是好的開發者。——不是我說的 小編私以為,Git 是世界上最好的代碼版本控制工具,木有之一。 -
Windows 10推出新的命令行工具,可以查看磁碟空間使用情況
Windows 10推出新的命令行工具,可以查看磁碟空間使用情況 Windows Insiders用戶有福音了,他們現在可以立即試用微軟新的磁碟空間分析器。 -
工具:C 程序轉換ShellCode利器
本文轉載自【微信公眾號:MicroPest,ID:gh_696c36c5382b】,經微信公眾號授權轉載,如需轉載與原文作者聯繫最近的工作中,發現了一款被大量運用在滲透領域、用來生成ShellCode中常用到的轉換工具,以替代Powershell逃避監測且使用頻率很高,尤其是境外非常流行;這就是我今天要介紹的主角:DoNut,並在最後給出了檢測要點。 -
15 款開發者工具,我先收藏了!
由於開發者涉及的技術領域眾多,下面以後端開發者的視角盤點平時可能用得到的工具哦。一、Java 線上診斷工具 ArthasArthas 阿里巴巴2018年9月開源的一款Java線上診斷工具。Arthas支持JDK 6+,支持Linux/Mac/Windows,採用命令行交互模式,同時提供豐富的 Tab 自動補全功能,進一步方便進行問題的定位和診斷。 -
用命令行管理你的GitHub項目,不必再開網頁,官方CLI工具1.0版今日...
用命令行管理你的GitHub項目,不必再開網頁,官方CLI工具1.0版今日上線 2020-09-18 17:09 來源:澎湃新聞·澎湃號·湃客 -
剛剛美團開源了一款超級好用的抓包及 Mock 工具
公眾號:AirPython作者:星安果1.前言抓包和 Mock 是日常工作中經常用到的 2 個功能,可能第一時間你會想到 Charles、Fiddler 但是這兩款工具在 Mock 數據管理上功能過於簡單,並且擴展性不強這裡,強烈推薦美團剛開源的一個工具,即:Lyrebird2.介紹 -
是時候撿起Postman了,2招讓你的接口測試效率提升5倍!
接口測試工具有了,那麼如何獲取每個接口的請求方法、URL及參數等數據呢?答案就在chrome瀏覽器的開發者工具。在chrome瀏覽器打開被測系統的訪問地址,並在頁面發起相關的http請求,同時打開開發者工具,可以在開發者工具裡找到每個接口的請求方法、URL及參數等信息,將這些信息複製到postman工具裡就能順利完成接口測試啦! -
阿里程式設計師常用的 15 款開發者工具!
每個工具按照以下幾點進行介紹: ·工具名稱和簡介 ·使用場景 ·使用教程 ·獲取方式 一、Java 線上診斷工具 Arthas Arthas 是阿里巴巴 2018 年 9 月開源的一款 Java 線上診斷工具。 -
一款功能強大並能夠進行GPS位置模擬偽裝類移動應用軟體
位置偽裝大師app是面向廣大用戶的一款功能強大並能夠進行GPS位置模擬偽裝類移動應用軟體。用戶通過位置偽裝大師app可隨心所欲變換、模擬自己的位置。本應用全新升級改版,全新的界面,強大的功能,更加智能,用起來簡單、方便。 -
GitHub 開源官方命令行工具登頂 TOP1,5 分鐘極速上手!
但是成為開源生態系統一部分的優勢在於,無論有無官方支持,社區都會在需要時構建相應的工具,GitHub 就有相同的經歷。Hub 是最受歡迎的非官方 GitHub CLI。據其網站表示:「Hub 是命令行 Git 的擴展,可幫助您完成 GitHub 的日常工作,而無需離開終端。」 -
用命令行管理你的 GitHub 項目,不必再開網頁,官方 CLI 工具 1.0...
GitHub CLI讓開發者在終端裡使用命令行(CLI)管理代碼項目,不必打開網頁,工作效率更高。 對於拉取請求也是類似,gh pr後加上create、checkout、diff、review即實現相應功能。 -
Web安全:截包工具
圖1 Burp Suite2、FiddlerFiddler是一款強大的HTTP截包工具,可用來調試網頁和伺服器的交互情況,能夠記錄所有客戶端與伺服器間的HTTPFiddler具有監視、設置斷點甚至修改輸入輸出數據等功能。Fiddler對開發者或者測試者而言,都是非常有用的工具。Fiddler工具如圖2所示。 -
Docker 推出一款新的 Docker Hub CLI 實驗工具
近日,Docker 發布了一款新的 Docker Hub CLI 實驗性工具,名為 hub-tool。使用 Hub CLI 工具,可以瀏覽、檢查和管理 Docker Hub 上的內容,還可用於團隊合作和帳戶管理。 -
關於PowerShell命令行的12個簡單技巧
【IT168 技術】PowerShell發展的越來越強大,包含了大量的cmdlets命令。可見其已成為了Windows發展的重點之一。腳本語言現在已經形成了許多供應商核心產品的基礎。本文總結了PowerShell的12條簡單的技巧,以供用戶參考。 -
最受歡迎的20款黑客工具盤點
今天,統計了全球各大網站數據(瀏覽量、下載量、使用量等等),為大家總結出了2019年最受歡迎的 20 款黑客工具。涉及範圍主要集中在 信息收集、Android黑客工具、自動化工具、網絡釣魚等。取前 20 款列出,排名不分先後! -
Type-c接口的手機功能這麼強大,你們還知道Type-c接口哪些功能?
Type-C也有人叫它USB-C,其實它的全稱是USBType-C;它是一種全新的USB接口形式,接口擁有體積小、兼容性廣等特點。自從Type-C出現以後,不過短短幾年時間就被大部分的手機生產廠家所親睞;目前除了iphone以外,安卓系統手機陣營基本上都標配了Type-C這種接口。為什麼Type-C接口有如此這麼大的魔力呢? -
HI-TECH C編譯器的PICC18命令行驅動
本文所闡述的HI-TECH C編譯器的PICC18命令行驅動,正是要解決這些問題。 1 HI-TECH C編譯器 HI-TECH C編譯器提供了C語言的標準特性,同時還加上許多為了適應PIC系列單片機的特定硬體特性而設計的擴展功能,並與彙編器集成在一起提供共享連結器和庫管理工具,因而應用較為廣泛。 -
6款強大的Instagram軟體分析工具
強大的Instagram分析工具Instagram帖子創建,管理,分析的使用工具全都在這裡了 -
一款超良心的去廣告小工具
今天,就來給大家介紹一個能夠一鍵消除這些廣告的良心工具,一起來看看吧。這是一款安卓手機上的App。在介紹它的功能之前,先來說說為什麼這是一款非常良心的工具。Blockada的原理和很多安卓廣告攔截工具類似,都是利用安卓系統本身的VPN接口,來過濾流量,通過規則來屏蔽廣告的。