Hack The Box — Mongod (MongoDB)

Guía en español para resolver la máquina Mongod de Hack The Box Starting Point: conceptos de MongoDB, mongosh y pasos para escanear, conectarte y obtener la bandera.

8 sept 2025 • 5 min read • Q2BSTUDIO Team

Inteligencia-Artificial-

En este artículo rehago y traduzco al español la guía de resolución de la máquina Mongod de Hack The Box, parte de los laboratorios Starting Point con nivel Muy Fácil. Es una máquina VIP, por lo que necesitas un plan de pago para acceder.

Qué es MongoDB

MongoDB es una base de datos NoSQL orientada a documentos. En lugar de usar tablas y filas como en los sistemas relacionales, organiza la información en una jerarquía de bases de datos, colecciones y documentos. Imagina una archivadora grande como base de datos, dentro hay carpetas que serían las colecciones, y dentro de cada carpeta hay archivos que serían los documentos; en esos archivos está la información real como textos, números o fechas. El formato es similar a JSON con pares clave valor, por ejemplo name: Adhishri. En condiciones normales se requiere usuario y contraseña para acceder, pero algunas instancias se configuran de forma insegura y permiten inicio de sesión anónimo, como dejar una archivadora sin llave en un lugar público.

Cómo se almacena la información en MongoDB

En cada base de datos hay colecciones y cada colección contiene documentos. A nivel práctico, para administrar y consultar usamos la herramienta de línea de comandos mongosh, que nos permite conectarnos al servidor, listar bases de datos, entrar en colecciones y revisar documentos.

Instalación de la shell de MongoDB

Puedes instalar el cliente mongosh más reciente con dpkg y resolver dependencias con apt, por ejemplo con sudo dpkg -i paquete.deb y luego sudo apt-get install -f. Comprueba la ruta con which mongosh. Sin embargo, si el servidor remoto usa una versión antigua, el cliente nuevo puede fallar por incompatibilidad de wire version. En la máquina Mongod el servidor usa MongoDB 3.6, mientras que el cliente moderno requiere como mínimo MongoDB 4.2.

Solución a la incompatibilidad de versiones

Descarga una versión anterior de mongosh, por ejemplo mongosh 2.3.2 para Linux x64, descomprímelo con tar, entra a la carpeta bin y ejecútalo desde ahí. Conéctate con el comando ./mongosh mongodb://IP:27017 sustituyendo IP por la dirección de la máquina objetivo.

Conexión y enumeración de datos

Una vez conectado como usuario anónimo, lista las bases de datos con show dbs. Cambia al esquema deseado con use sensitive_information. Luego, inspecciona las colecciones con show collections. Para volcar el contenido de una colección usa db.nombre_coleccion.find. Si la colección se llama flag, ejecuta db.flag.find para ver sus documentos.

Escaneo inicial con Nmap

Antes de conectar, identifica los puertos abiertos. Un ejemplo de comando es nmap -p- --min-rate=1000 -sV IP. Con -p- escaneas todos los puertos TCP de 0 a 65535, con -sV detectas versiones de servicios y con --min-rate aceleras el envío de paquetes. En Mongod encontrarás 2 puertos TCP abiertos y el 27017 expone un servicio MongoDB 3.6.8.

Comandos clave de la shell

mongosh para abrir la shell interactiva. show dbs para listar bases de datos. use nombre_bd para cambiar de base. show collections para listar colecciones de la base actual. db.flag.find para obtener el contenido de la colección flag.

Resumen de tareas y respuestas

Tarea 1: cantidad de puertos TCP abiertos en la máquina 2. Tarea 2: servicio en el puerto 27017 MongoDB 3.6.8. Tarea 3: tipo de base de datos MongoDB NoSQL. Tarea 4: comando para lanzar la shell mongosh. Tarea 5: comando para listar bases de datos show dbs. Tarea 6: comando para listar colecciones show collections. Tarea 7: comando para volcar documentos de la colección flag db.flag.find.

Ruta completa para capturar la bandera

1 Escanea con Nmap y verifica puertos. 2 Identifica MongoDB en 27017. 3 Conecta con mongosh compatible con la versión del servidor. 4 Usa show dbs y selecciona la base sensitive_information con use. 5 Lista colecciones con show collections. 6 Ejecuta db.flag.find y recupera la flag. Al enviarla, verás el mensaje de éxito de la plataforma indicando que la máquina fue comprometida.

Cómo puede ayudarte Q2BSTUDIO

En Q2BSTUDIO somos expertos en ciberseguridad, pentesting, inteligencia artificial y desarrollo de software a medida y aplicaciones a medida. Si buscas fortalecer tu postura de seguridad con pruebas de intrusión, auditorías de seguridad y hardening, consulta nuestros servicios de ciberseguridad y pentesting. Además, diseñamos arquitecturas escalables y seguras en la nube, integrando mejores prácticas DevSecOps y despliegues gestionados con servicios cloud AWS y Azure, conoce más en nuestros servicios cloud AWS y Azure.

También impulsamos la transformación digital con inteligencia artificial para empresas, agentes IA, automatización de procesos, servicios de inteligencia de negocio y analítica avanzada. Integramos datos con power bi, construimos pipelines, dashboards y modelos predictivos, y conectamos esto con soluciones de software a medida que se adaptan a tus objetivos. Nuestro enfoque combina seguridad por diseño con innovación, para que tu organización aproveche IA para empresas, reduzca riesgos y acelere la toma de decisiones.

Palabras clave para empresas que buscan estas soluciones

Aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud AWS y Azure, servicios inteligencia de negocio, IA para empresas, agentes IA y power bi. Si necesitas alinear tu estrategia tecnológica con tus metas de negocio, en Q2BSTUDIO podemos acompañarte desde la arquitectura, la implementación y la operación continua con control de costes, rendimiento y seguridad.

Conclusión

La máquina Mongod es un ejercicio claro de cómo una mala configuración en MongoDB puede permitir accesos anónimos y exponer información sensible. La práctica refuerza habilidades de enumeración con Nmap, uso de mongosh y buenas prácticas de gestión de versiones del cliente. Más allá del reto, es una llamada a implementar controles de ciberseguridad, segmentación de red y autenticación robusta en servicios de base de datos. Si quieres llevar estas buenas prácticas a producción, desde Q2BSTUDIO podemos ayudarte a diseñar, desplegar y asegurar tus plataformas con un enfoque integral.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat