List [CTL]
首发于安恒公众号
这几天读了一本《MongoDB权威指南》的动物书,简单了解了这类nosql(Not Only SQL)数据库的操作语句。书上的业务层面以及sql优化部分我就略过了。书上是2.x版本的MongoDB,部分语句已经废弃了,在踩坑后我把那些删掉了
Mongo的最大特点就是存储数据格式的多样化和反关系范式:
- 相对于关系化数据库的”矩形”存储格式,Mongo可以存储任意的json格式数据,例如
{'u': 'admin', 'pwd': '***'}。当然有利必定有弊,假如存储的是格式化的数据,如用户表这样每一行都是相同字段,那么每一行都需要存储一遍字段名,解决办法?字段名取短一点,就像我举得例子一样 - 反关系范式需要好好设计,根据读写比例,在数据冗余的数据引用之间做好平衡。比如用户表里的用户粉丝,我会这样设计:
{'u': 'admin', 'e': 'x@x.cc', 'tel': '110', 'sex': 1, 'fs': [{'u': 'user1', 'sex': 1}, {...}]}。经常和用户一起查询出的粉丝信息内嵌入文档中(用户名,性别),避免跨表查询;而其余信息则使用用户引用查询(邮箱,电话)
核心思想
在MongoDB中,没有表、列的概念,取而代之的是集合(collection)、文档(document)
- 库(DB):
- 数据库,包含多个集合
- 当前数据库名存储在全局变量
db中 admin库,库中用户有数据库所有权限,local库,不可复制,本地数据库,config库
- 集合(Collection):
- 一组文档
- 以名称进行标识,不能为空字符串
- 不能以
system.开头,不能使用字符$(特殊含义字符)
- 文档(Document):
- 键值对的一个有序集,即有序的哈希表
- 键值不能有
'\0' - 不能存在
.和$ - 区分类型(
"1"和1)与大小写
MongoDB内置JavaScript解释器,它的文档是JS中的对象({...}),就是那种没成员函数的对象
MongoDB运行于27017端口,且启动后会在28017端口启动一个基本的Http服务器。启动后会连接到test数据库,use [database]切换当前数据库
MongoDB以BSON格式保存数据,即Binary Json
CRUD操作
观察发现:MongoDB中的方法函数基本都是以JavaScript命名习惯的,即word1Word2Word3,如addEventListener
文档插入后会自动添加一个_id属性,为唯一标识符{"_id": ObjectId("56064886ade2f21f36b03134")}
Create
创建数据库
> use [newdbname] //不存在则会创建
创建collections
db.createCollection()
创建集合
集合的insert方法,插入单个文档
db.collection.insert({
key1: value1,
ley2: value2
})
Read
集合的find方法,第一个参数是用来确定返回的文档,第二个参数确定返回的键值的过滤条件
db.collection.find() // 返回全部文档
db.collection.find({"age": 20}) // 按条件查询
db.collection.find({
"age": 20,
"name": "ivan"
}) // condition1 && condition2
返回指定键值
db.collection.find({}, {key1: 1}) // 会返回"_id"和key1
db.collection.find({}, {key1: 0}) // 不返回key1
查询条件
| $lt | $lte | $gt | $gte | $ne |
|---|---|---|---|---|
| < | <= | > | >= | != |
db.collection.find({
"age": {"$gt": 18, "$lt": 30}
}) // 返回年龄18< <30
| $in | $nin | $or | $not | $size |
|---|---|---|---|---|
| 指定列表,成员可为不同类型 | 不在列表中 | 条件逻辑或 | 元操作符,可用于其余任何条件 | 大小 |
db.collection.find({
"number": {"$in": [1, 2, 3]}
})
db.collection.find({
"$or": [{key1: value1}, {key2: value2}]
})
db.collection.find({
"$not": {"age": 20}
})
db.collection.find({
"name": {"$size": 4}
})
null值
db.collection.find({key1: null}) // 会返回所有无key1键的文档
RegExp
db.collection.find({"name": /^[a-z]{0,4}$/i}) // 可加入正则flag位,如i忽略大小写
$slice,返回键中数组切片
db.collection.find({},
{"comments": {"$slice": 10}}) // 返回前十切片
db.collection.find({},
{"comments": {"$slice": 10}}) // 返回后十切片
db.collection.find({},
{"comments": {"$slice": [23, 10]}}) // 返回24~33切片,神奇的左开右闭
$where,危险语句,可执行任意JS函数
db.collection.find({"$where": function(){
for (var i in this){
for (var j in this){
if (i!=j && this[i]==this[j])
return true;
}
}
return false;
}})
其实就是传入一个返回值为bool的匿名函数,对文档进行选择
游标
var cursor = db.collection.find();
while (cursor.hasNext()){
//do sth by use cursor.next()
}
limit、skip、sort方法
db.collection.find().limit(3)
db.collection.find().skip(3)
db.collection.find().sort({key1: 1, key2: -1}) //键值1为升序,-1降序
Update
修改器
$inc,原子操作,并发安全
db.collection.update({key: value}, {"$inc": {a: 1}}) //find操作后键值a会自增1
$set,存在则修改,不存在则创建,就像sql语句的REPLACE一样
db.collection.update({"_id": "xxxxxx"}, {"$set": {key: value}})
$unset,set的逆操作
$push,修改文档数组,因为JavaScript的数组增删元素就是用push&pop
$each,批量修改数组
db.collection.update({}, {"$update": {key: {"$each": [val1, val2, val3]}}})
$addToSet,同一般语言中set,去重
upsert操作:指定update的第三个参数进行原子操作
db.collection.update({}, {"$inc": {a: 1}}, true) //true为upsert操作
更新多个文档,指定第四个参数
db.collection.update({}, {"$set": {key: 1}}, false, true) //true为更新多个文档
Delete
db.collection.remove() //删所有文档
db.collection.remove({key: value}) //指定查询条件
db.collection.drop() //删集合
db.dropDatabase() 删库
NoSQL注入
我将MongoDB装在我的Debian 9虚拟机上,创建了以下内容:
> use sqli
switched to db sqli
> db
sqli
> db.createCollection("users")
{ "ok" : 1 }
> db.users.insert({"uname": "admin", "passwd": "admin"})
WriteResult({ "nInserted" : 1 })
> db.users.insert({"uname": "iv4n", "passwd": "iv4n"})
WriteResult({ "nInserted" : 1 }
> db.users.find()
{ "_id" : ObjectId("5ba3412314139eac63f891f7"), "uname" : "admin", "passwd" : "admin" }
{ "_id" : ObjectId("5ba3424114139eac63f891f8"), "uname" : "iv4n", "passwd" : "iv4n" }
以下是PHP代码,这里是PHP 7.x,和5.x的mongoDB库使用有差异:
<?php
// init mongoDB engine
$server = new MongoDB\Driver\Manager("mongodb://localhost:27017");
$uname = $_POST["uname"];
$passwd = $_POST["passwd"];
$filter = ["uname" => $uname,
"passwd" => $passwd,
];
$option = [
"projection" => ["_id" => 0],
"sort" => ["_id"=> -1],
];
$query = new MongoDB\Driver\Query($filter, $option);
$cursor = $server->executeQuery("sqli.users", $query);
foreach ($cursor as $doc){
if ($doc->passwd == $passwd){
echo "Login Successfully!<br>";
echo "username is: ".$doc->uname."<br>";
echo "password is: ".$doc->passwd."<br>";
} else {
echo "Invalid user and pass"; }
}
?>
index页面为一个post方法登录
这里的filter为查询条件,语句为db.users.find({"uname": $uname, "passwd": $passwd})
正常登录,用户名密码错误无回显
$ne选择器注入,返回所有不等于的document,传入数据库的语句实际是db.users.find({"uname": {"$ne": "a"}, "passwd": {"$ne": "a"}}):
可以看到,返回了数据库的全部信息
$lt/$gt注入:
前面说过,MongoDB内置的是Javascript的解释器,所以它在字符串的大小判断也遵循JS的逻辑
JS的字符串大小判断逻辑:按字节从左比较ascii码,假如相等则比较下一字节,不等则返回当前位的比较结果
所以我们可以利用大小操作符来注入:
正则注入:
$regex,传入数据库的语句实际为db.users.find({"uname": {"$regex": "^a"}, "passwd": {"$ne": "a"}})
可以看到,返回了以a开头的用户信息,实际上它和SQL的正则盲注是一样的道理
未授权访问
MongoDB最初安装部署后是不会添加auth选项的,一般的初始化步骤是:
- 不开启auth选项时连接数据库,添加管理员账户
- 开启auth,利用管理员账号登录连接,添加数据库账户
但是很多开发者并不知道这些Tips,没有开启auth选项,且数据库监听了公网,就导致了MongoDB的未授权访问
其实MongoDB的未授权访问和Redis数据库是差不多的,这里利用一个工具NoSQLMap来进行数据库信息枚举,有SQLMap那么也就有针对NoSQL数据库的NoSQLMap,它可以注入以及利用未授权访问漏洞
我将数据库不开启auth启动,然后NoSQLMap的1选项设置想关信息
接着点击2选项,提示存在未授权访问漏洞
点击枚举数据库信息
这个工具目前来说还不是很完善,动不动就会直接exception退出,和SQLMap相比差距还是很大,