NoSQLMap - Automated NoSQL database enumeration and web application exploitation tool

squadcyber - A NoSQL (awalnya mengacu pada "non SQL", "non relasional" atau "tidak hanya SQL") database menyediakan mekanisme untuk penyimpanan dan pengambilan data yang dimodelkan dalam sarana selain hubungan tabular yang digunakan dalam database relasional. Database semacam itu sudah ada sejak akhir 1960-an, tetapi tidak mendapatkan moniker "NoSQL" sampai lonjakan popularitas pada awal abad ke-21, dipicu oleh kebutuhan perusahaan Web 2.0 seperti Facebook, Google, dan Amazon.com. Database NoSQL semakin banyak digunakan dalam big data dan aplikasi web real-time. Sistem NoSQL juga kadang-kadang disebut "Tidak hanya SQL" untuk menekankan bahwa mereka dapat mendukung bahasa query seperti SQL.

DBMS Support

Saat ini eksploitasi alat terfokus di sekitar MongoDB, dan CouchDB tetapi dukungan tambahan untuk platform berbasis NoSQL lainnya seperti Redis, dan Cassandra direncanakan dalam rilis mendatang.

Requirements

Pada sistem berbasis Debian atau Red Hat, skrip setup.sh dapat dijalankan sebagai root untuk mengotomasi instalasi dependensi NoSQLMap.

Bervariasi berdasarkan fitur yang digunakan:

• Metasploit Framework,
• Python with PyMongo,
• httplib2,
• and urllib available.
• A local, default MongoDB instance for cloning databases to. Lihat di sini untuk petunjuk pemasangan.

Cara Install NoSQLMap

$ git clone https://github.com/codingo/NoSQLMap
$ cd NoSQLMap
$ python setup.py install

Cara Menggunakan NoSQLMap

Ketik :

$ python NoSQLMap

NoSQLMap menggunakan sistem berbasis menu untuk membangun serangan. Setelah memulai NoSQLMap Anda disajikan dengan menu utama:

1-Set options (do this first)

2-NoSQL DB Access Attacks

3-NoSQL Web App attacks

4-Scan for Anonymous MongoDB Access

x-Exit

Penjelasan opsi:

1. Set target host/IP-The target web server (i.e. www.google.com) or MongoDB server you want to attack.

2. Set web app port-TCP port for the web application if a web application is the target.

3. Set URI Path-The portion of the URI containing the page name and any parameters but NOT the host name (e.g. /app/acct.php?acctid=102).

4. Set HTTP Request Method (GET/POST)-Set the request method to a GET or POST; Presently only GET is implemented but working on implementing POST requests exported from Burp. 

5. Set my local Mongo/Shell IP-Set this option if attacking a MongoDB instance directly to the IP of a target Mongo installation to clone victim databases to or open Meterpreter shells to.

6. Set shell listener port-If opening Meterpreter shells, specify the port.

7. Load options file-Load a previously saved set of settings for 1-6.

8. Load options from saved Burp request-Parse a request saved from Burp Suite and populate the web application options.

9. Save options file-Save settings 1-6 for future use.

x. Back to main menu-Use this once the options are set to start your attacks.

NoSQLMap MongoDB Management Attack Demo.