【Academy】 NoSQL injection NoSQL注入

NoSQL注入 NoSQL injection

概述
１．NoSQL数据库
２．NoSQL注入的类型
３．NoSQL语法注入
- 3.1在MongoDB中检测语法注入
- - 3.1.1确定要处理的字符
  - 3.1.2确认条件行为
  - 3.1.3覆盖现有条件
４．NoSQL操作符注入
- 4.1提交查询运算符
- 4.2在MongoDB中检测操作符注入
５．利用语法注入提取数据
- 5.1在MongoDB中提取数据
- - 5.1.1识别字段名称
６．利用NoSQL操作符注入提取数据
- 6.1在MongoDB中注入操作符
- - 6.1.1提取字段名称
  - 6.1.2使用运算符提取数据
７．基于时间的注入
８．防止NoSQL注入

概述

NoSQL注入是指攻击者能够干扰应用程序对NoSQL数据库的查询的操作。NoSQL注入可能使攻击者能够：

绕过身份验证或保护机制。
提取或编辑数据。
造成拒绝服务。
在服务器上执行代码。
NoSQL数据库以不同于传统SQL关系表的格式存储和检索数据。它们使用广泛的查询语言，而不是像SQL这样的通用标准，并且具有更少的关系约束。

１．NoSQL数据库

NoSQL数据库以不同于传统SQL关系表的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此，它们通常比SQL具有更少的关系约束和一致性检查，并声称在可伸缩性，灵活性和性能方面具有显着的优势。
与SQL数据库一样，用户使用应用程序传递给数据库的查询与NoSQL数据库中的数据进行交互。然而，不同的NoSQL数据库使用广泛的查询语言，而不是像SQL（结构化查询语言）这样的通用标准。这可能是一种自定义查询语言，也可能是一种通用语言，如XML或JSON。

NoSQL数据库有很多种。为了检测NoSQL数据库中的漏洞，它有助于理解模型框架和语言。
一些常见的NoSQL数据库类型包括：

文档存储-这些存储在灵活的半结构化文档中的数据。它们通常使用JSON、BSON和XML等格式，并以API或查询语言进行查询。例如MongoDB和Couchbase。
键值存储-这些存储数据的键值格式。每个数据字段都与一个唯一的键字符串相关联。根据唯一键检索值。例如Redis和Amazon DynamoDB。
宽列存储-这些存储将相关数据组织到灵活的列族中，而不是传统的行中。例如Apache Cassandra和Apache HBase。
图形数据库-这些数据库使用节点来存储数据实体，使用边来存储实体之间的关系。例如Neo4j和Amazon Neptune。

２．NoSQL注入的类型

有两种不同类型的NoSQL注入：

语法注入-当您可以打破NoSQL查询语法时，会发生这种情况，使您能够注入自己的有效负载。该方法类似于SQL注入中使用的方法。然而，攻击的性质差异很大，因为NoSQL数据库使用一系列查询语言，查询语法类型和不同的数据结构。
操作符注入-当您可以使用NoSQL查询操作符来操作查询时会发生这种情况。
在本文中，将了解如何测试NoSQL漏洞，然后重点关注MongoDB中的漏洞，MongoDB是最流行的NoSQL数据库。

３．NoSQL语法注入

您可以通过尝试破坏查询语法来检测NoSQL注入漏洞。要做到这一点，系统地测试每个输入，提交模糊字符串和特殊字符，如果它们没有被应用程序充分清理或过滤，则会触发数据库错误或其他一些可检测的行为。
如果您知道目标数据库的API语言，请使用与该语言相关的特殊字符和模糊字符串。否则，使用各种模糊字符串来针对多个API语言。

3.1在MongoDB中检测语法注入

考虑一个以不同类别显示产品的购物应用程序。当用户选择Fizzy饮料类别时，他们的浏览器请求以下URL：

https://insecure-website.com/product/lookup?category=fizzy

这会导致应用程序发送一个JSON查询，从MongoDB数据库中的product集合中检索相关产品：

this.category == 'fizzy'

要测试输入是否易受攻击，请在category参数的值中提交一个模糊字符串。MongoDB的一个示例字符串是：

'"`{
;$Foo}
$Foo \xYZ

使用此模糊字符串构造以下攻击：

https://insecure-website.com/product/lookup?category='%22%60%7b%0d%0a%3b%24Foo%7d%0d%0a%24Foo%20%5cxYZ%00

如果这导致原始响应发生变化，则可能表明用户输入未被正确过滤或清理。

注意
NoSQL注入漏洞可能发生在各种上下文中，您需要相应地调整模糊字符串。否则，您可能只是触发验证错误，这意味着应用程序永远不会执行您的查询。
在本例中，我们通过URL注入模糊字符串，因此字符串是URL编码的。在某些应用程序中，您可能需要通过JSON属性注入负载。在这种情况下，此有效负载将变为

'\"`{\r;$Foo}\n$Foo \\xYZ\u0000

3.1.1确定要处理的字符

若要确定应用程序将哪些字符解释为语法，可以注入单个字符。例如，您可以提交'，这将导致以下MongoDB查询：

this.category == '''

如果这导致原始响应发生变化，则可能表明'字符破坏了查询语法并导致语法错误。您可以通过在输入中提交有效的查询字符串来确认这一点，例如通过转义引号：

this.category == '\''

如果这不会导致语法错误，这可能意味着应用程序容易受到注入攻击。

3.1.2确认条件行为

检测到漏洞后，下一步是确定您是否可以使用NoSQL语法影响布尔条件。
为了测试这一点，发送两个请求，一个带有false条件，另一个带有true条件。例如，你可以使用条件语句' && 0 && 'x和' && 1 && 'x如下：

https://insecure-website.com/product/lookup?category=fizzy'+%26%26+0+%26%26+'x

https://insecure-website.com/product/lookup?category=fizzy'+%26%26+1+%26%26+'x

如果应用程序的行为不同，这表明false条件会影响查询逻辑，而true条件则不会。这表明注入这种语法会影响服务器端查询。

3.1.3覆盖现有条件

既然您已经确定可以影响布尔条件，您就可以尝试覆盖现有条件来利用此漏洞。例如，您可以注入一个始终计算为true的JavaScript条件，例如'||1||'

https://insecure-website.com/product/lookup?category=fizzy%27%7c%7c%31%7c%7c%27

这将导致以下MongoDB查询：

this.category == 'fizzy'||'1'=='1'

由于注入的条件始终为true，因此修改后的查询将返回所有项。这使您能够查看任何类别中的所有产品，包括隐藏或未知类别。
警告
在向NoSQL查询中注入一个总是计算为true的条件时要小心。虽然这在您注入的初始上下文中可能是无害的，但应用程序在多个不同的查询中使用来自单个请求的数据是很常见的。例如，如果应用程序在更新或删除数据时使用它，这可能会导致意外的数据丢失。
也可以在类别值后添加空字符。MongoDB可能会忽略空字符之后的所有字符。这意味着MongoDB查询上的任何附加条件都将被忽略。例如，查询可能有一个额外的this.released限制：

this.category == 'fizzy' && this.released == 1

限制this.released == 1用于仅显示已发布的产品。对于未发布的产品，大概是this.released == 0
在这种情况下，攻击者可以构造如下攻击：

https://insecure-website.com/product/lookup?category=fizzy'%00

这将导致以下NoSQL查询：

this.category == 'fizzy'\u0000' && this.released == 1

如果MongoDB忽略空字符之后的所有字符，这就取消了将released字段设置为1的要求。因此，将显示fizzy类别中的所有产品，包括未发布的产品。

４．NoSQL操作符注入

NoSQL数据库通常使用查询运算符，这些运算符提供了指定数据必须满足的条件以包含在查询结果中的方法。MongoDB查询操作符的示例包括：

$where -匹配满足JavaScript表达式的文档。
$ne -匹配所有不等于指定值的值。
$in -匹配数组中指定的所有值。
$regex -检查值与指定正则表达式匹配的文档。
您可以注入查询运算符来操作NoSQL查询。为此，系统地将不同的操作符提交到一系列用户输入中，然后查看错误消息或其他更改的响应。

4.1提交查询运算符

在JSON消息中，可以将查询运算符作为嵌套对象插入。例如，{"username":"wiener"}变为{"username":{"$ne":"invalid"}}。
对于基于URL的输入，可以通过URL参数插入查询运算符。例如，username=wiener变为username[$ne]=invalid。如果这不起作用，您可以尝试以下操作：

将请求方法从GET转换为POST。
将Content-Type标题更改为application/json。
将JSON添加到消息体。
在JSON中注入查询运算符。

注意
您可以使用Content Type Converter扩展来自动转换请求方法，并将URL编码的POST请求更改为JSON。

4.2在MongoDB中检测操作符注入

考虑一个易受攻击的应用程序，它在POST请求的正文中接受用户名和密码：

{"username":"wiener","password":"peter"}

使用一系列运算符测试每个输入。例如，要测试用户名输入是否处理查询运算符，您可以尝试以下注入：

{"username":{"$ne":"invalid"},"password":{"peter"}}

如果应用了$ne运算符，则会查询用户名不等于invalid的所有用户。
如果用户名和密码输入都进行了处理，则可以使用以下有效负载绕过身份验证：

{"username":{"$ne":"invalid"},"password":{"$ne":"invalid"}}

此查询返回用户名和密码均不等于invalid的所有登录凭据。因此，您将作为集合中的第一个用户登录到应用程序。
要定位一个帐户，您可以构建一个有效负载，其中包括一个已知的用户名，或一个您猜测的用户名。举例来说：

{"username":{"$in":["admin","administrator","superadmin"]},"password":{"$ne":""}}

５．利用语法注入提取数据

在许多NoSQL数据库中，一些查询运算符或函数可以运行有限的JavaScript代码，例如MongoDB的$where运算符和mapReduce()函数。这意味着，如果易受攻击的应用程序使用这些运算符或函数，数据库可能会将JavaScript作为查询的一部分进行评估。因此，您可以使用JavaScript函数从数据库中提取数据。

5.1在MongoDB中提取数据

考虑一个易受攻击的应用程序，它允许用户查找其他注册用户名并显示其角色。这会触发对URL的请求：

https://insecure-website.com/user/lookup?username=admin

这将导致以下对users集合的NoSQL查询：

{"$where":"this.username == 'admin'"}

由于查询使用$where运算符，因此可以尝试将JavaScript函数注入此查询，以便返回敏感数据。例如，您可以发送以下payload：

admin' && this.password[0] == 'a' || 'a'=='b

这将返回用户密码字符串的第一个字符，使您能够逐个字符地提取密码。

您还可以使用JavaScript match()函数提取信息。例如，以下有效负载使您能够识别密码是否包含数字：

admin' && this.password.match(/\d/) || 'a'=='b

5.1.1识别字段名称

由于MongoDB处理的是不需要固定模式的半结构化数据，因此在使用JavaScript注入提取数据之前，您可能需要识别集合中的有效字段。

例如，要识别MongoDB数据库是否包含password字段，您可以提交以下有效负载：

https://insecure-website.com/user/lookup?username=admin'+%26%26+this.password!%3d'

为现有字段和不存在的字段再次发送有效负载。在本例中，您知道username字段存在，因此可以发送以下有效负载：

admin' && this.username!='

admin' && this.foo!='

如果password字段存在，您会期望响应与现有字段（username）的响应相同，但与不存在的字段（foo）的响应不同。

如果你想测试不同的字段名，你可以执行字典攻击，通过使用一个单词列表来循环不同的潜在字段名。

注意

您也可以使用NoSQL操作符注入来逐个字符提取字段名称。这使您能够识别字段名称，而无需猜测或执行字典攻击。

６．利用NoSQL操作符注入提取数据

即使原始查询没有使用任何使您能够运行任意JavaScript的运算符，您也可以自己注入这些运算符之一。然后，您可以使用布尔条件来确定应用程序是否执行通过此操作符注入的任何JavaScript。

6.1在MongoDB中注入操作符

考虑一个易受攻击的应用程序，它在POST请求的正文中接受用户名和密码：

{"username":"wiener","password":"peter"}

要测试是否可以注入操作符，可以尝试添加$where操作符作为附加参数，然后发送一个条件计算为false的请求，另一个条件计算为true的请求。例如：

{"username":"wiener","password":"peter", "$where":"0"}

{"username":"wiener","password":"peter", "$where":"1"}

如果响应之间存在差异，则这可能指示正在操作$where子句中的JavaScript表达式。

6.1.1提取字段名称

如果您已经注入了一个操作符，使您能够运行JavaScript，您可以使用keys()方法来提取数据字段的名称。例如，您可以提交以下payload：

"$where":"Object.keys(this)[0].match('^.{0}a.*')"

这将检查用户对象中的第一个数据字段，并返回字段名称的第一个字符。这使您能够逐个字符提取字段名称。

6.1.2使用运算符提取数据

您也可以使用无法运行JavaScript的运算符提取数据。例如，您可以使用$regex运算符逐个字符地提取数据。

考虑一个易受攻击的应用程序，它在POST请求的主体中接受用户名和密码。例如：

{"username":"myuser","password":"mypass"}

你可以从测试$regex操作符是否被处理开始，如下所示：

{"username":"admin","password":{"$regex":"^.*"}}

如果此请求的响应与您提交错误密码时收到的响应不同，则表明应用程序可能存在漏洞。您可以使用$regex操作符逐个字符提取数据。例如，以下有效负载检查密码是否以a开头：

{"username":"admin","password":{"$regex":"^a*"}}

７．基于时间的注入

有时，触发数据库错误不会导致应用程序响应的差异。在这种情况下，您仍然可以通过使用JavaScript注入触发条件时间延迟来检测和利用该漏洞。

执行基于时间的NoSQL注入：

多次加载页面以确定基线加载时间。
在输入中插入一个基于定时的有效负载。基于定时的有效载荷在执行时引起响应中的故意延迟。例如，{"$where": "sleep(5000)"}在成功注入时造成5000 ms的故意延迟。
确定响应是否加载得更慢。这表明注射成功。

如果密码以字母a开头，则以下基于定时的有效载荷将触发时间延迟：

admin'+function(x){var waitTill = new Date(new Date().getTime() + 5000);while((x.password[0]==="a") && waitTill > new Date()){};}(this)+'

admin'+function(x){if(x.password[0]==="a"){sleep(5000)};}(this)+'

８．防止NoSQL注入

防止NoSQL注入攻击的适当方法取决于所使用的特定NoSQL技术。因此，建议您阅读所选NoSQL数据库的安全文档。也就是说，以下广泛的指导方针也将有所帮助：

使用可接受字符的允许列表清理和验证用户输入。
使用参数化查询插入用户输入，而不是将用户输入直接连接到查询中。
要防止操作符注入，请应用接受键的allowlist。