NosqliNosqli是一个强大的NoSQL注入命令行界面工具。本质上,它是一个NoSQL扫描和注入工具。Nosqli是基于Go语言开发的。它是一款简单易用的NoSql注入工具,提供完整的命令行界面,支持安全研究人员根据需要自定义配置。该工具运行速度非常快,扫描结果准确且可用性高。此外,它的命令行界面使用起来非常简单。功能介绍Nosqli目前支持对MongoDB的NoSql注入检测。该工具目前可以进行以下测试:基于错误的测试:注入各种字符和Payload,并扫描已知的Mongo错误响应;Boolean盲注测试:注入包含参数的True/FalsePayload,并尝试判断是否存在注入点;基于时间的测试:尝试向目标服务器注入一个时间延迟,根据响应判断是否存在注入点;工具下载广大研究人员请直接访问项目的Releases页面,立即回复操作系统最新版本的Nosqli。下载完成后安装到指定路径,或者直接从本地文件目录运行。广大使用该工具的研究人员可以直接运行注入命令或通过以下方式查看帮助信息。$nosqliNoSQLInjectorisaCLItoolfortestingDatastoresthatdonotdependonSQLasaquerylanguage.nosqliaimstobeasimpleautomationtoolforidentifyingandexploitingNoSQLInjectionvectors.Usage:nosqli[command]AvailableCommands:helpHelpaboutanycommandscanScanendpointforNoSQLInjectionvectorsversionPrintsthecurrentversionFlags:--configstringconfigfile(defaultis$HOME/.nosqli.yaml)-d,--datastringSpecifydefaultpostdata(shouldnotincludeanyinjectionstrings)-h,--helphelpfornosqli-p,--proxystringProxyrequeststhroughthisproxyURL.DefaultstoHTTP_PROXYenvironmentvariable.-r,--requeststringLoadinrequestfromafile,suchasarequestgeneratedinBurporZAP.-t,--targetstringtargeturleg.http://site.com/page?arg=1-u,--user-agentstringSpecifyauseragentUse"nosqli[command]--help"获取有关命令的更多信息。$nosqliscan-thttp://localhost:4000/user/lookup?username=testRunningErrorbasedscan...RunningBooleanbasedscan...FoundErrorbasedNoSQLInjection:URL:http://localhost:4000/user/lookup?=&username=testparam:usernameInjection:username='您可以使用有漏洞的NodeJS应用程序或其他NoSql注入实验平台来测试该工具的源码构建如果您想自己构建源码,或者针对特定平台来编译源码,可以先按照下面的方法clone项目源码到本地,然后安装依赖,最后手动构建项目。这里需要在设备上安装最新的Go开发愿景,然后配置GOPATH环境变量。$gitclonehttps://github.com/Charlie-belmer/nosqli$cdnosqli$goget./..$goinstall$nosqli-hruntest该工具自带测试套件,研究人员可以在项目根目录下运行go测试对于简单的注入检测:gotest./...此外,Nosqli还提供了一个测试集,用于针对本地运行的已知易受攻击的应用程序进行注入。要使用集成测试,请安装并运行易受攻击的NodeJSMongo注入应用程序,或我提供的PHP实验室。接下来,我们需要在运行命令时提供集成参数:gotest./...-args-integrations=true项目地址Nosqli:[GitHubPortal]
