27017,27020 - MongoDB

MongoDB es una base de datos de documentos que ofrece una gran escalabilidad y flexibilidad, y un modelo de consultas e indexación avanzado.

Reconocimiento

Nmap scripts

ls -al /usr/share/nmap/scripts/ | grep -e “mysql” # para ver los scripts posibles del mongodb
Para comprobar info que nos pueda dar de mongodb:
nmap -p27017 --script=mongodb-info target-2 | less

Comprobar bases de datos
nmap -p27017 --script=mongodb-databases target-2

Para hacer bruteforce a las base de datos
nmap -p27017 --script=mongodb-brute target-2

Comandos

Para entrar en mongodb solamente tenemos que ejecutar el comando mongo.

Una vez dentro tenemos varias opciones, dándole a help nos aparecen, dependiendo de los permisos que tengamos con lo que hayamos entrado, nos saldrá una cosa u otra.

help command

A continuación os dejo unos ejemplos de como se listarían los recursos

show dbs # mostrar bases de datos
show collections # para mostrar las colecciones de la bbdd actual
db.users.find() # listar los objetos de dicha coleccion