mongodb常见弱口令

MongoDB是一款流行的NoSQL数据库，但是由于其默认不启用身份验证，因此默认情况下使用的是明文传输，这导致MongoDB常常成为攻击者的目标。而弱口令是攻击者能够轻易攻击MongoDB的一种方式。本文就MongoDB常见弱口令进行解析。

1. admin/无密码

攻击者最基本的猜测就是使用MongoDB默认账户 "admin"，并尝试不带密码登录。如果管理员没有更改默认账户密码，则攻击者将轻松取得管理员权限。下面是攻击者实施该攻击的代码示例：

mongo admin --eval 'db.runCommand({getParameter:1})'

2. mongo/mongo

该密码是由MongoDB官方提供的一个示例账户和密码，虽然该账户和密码只是用于测试和学习，但是在安装MongoDB时，未经修改的安装会保留该账户和密码，为攻击者提供了可乘之机。

3. 短密码

弱密码是所有弱口令中最常见的。攻击者通常通过各种字典攻击和暴力破解方式，尝试一些简单的、短小的、容易被推测出来的密码。例如“123456”、“1111”、“password”等简单密码。下面是使用简单密码攻击的代码示例：

mongo -u root -p password --host <mongo_host> --eval "printjson(db.serverStatus())"

4. 明文传输

MongoDB默认没有启用安全认证，因此所有的请求都是明文传输，这使得窃听MongoDB数据库通信的攻击者可以获得MongoDB数据库所有的数据。这也是为什么要在生产环境中启用加密和身份验证的主要原因之一。

5. 通用密码

攻击者通常会选择一些常用密码，例如“admin123”，这 einige密码的使用，是因为很多管理员可能设置简单的密码以方便记忆和管理，而攻击者就利用这个弱点进行攻击。下面是使用“admin123”尝试登录MongoDB的示