search
Xtormin GithubLinkedIn

Lab: SQL injection UNION attack, retrieving data from other tables

Ataque de inyección SQL mediante UNION, extrayendo datos de otras tablas.

hashtag
Información del laboratorio

https://portswigger.net/web-security/sql-injection/union-attacks/lab-retrieve-data-from-other-tablesarrow-up-right

En este laboratorio hay una vulnerabilidad de inyección SQL en el filtro de la categoría del producto.

Esta vulnerabilidad es similar a las de los laboratorios:

hashtag
Flujo de explotación

hashtag
Identificación del parámetro vulnerable

Para verificar que es vulnerable, se usan payloads con el operador lógico AND, por ejemplo: 'and'1337'='1337 y 'and'1337'='1338.

Como se puede observar, al enviar el payload 'and'1337'='1337, la condición se cumple, y por lo tanto, se obtienen los mismos datos que sin haber modificado la consulta:

GET /filter?category=Pets'and'1337'='1337 HTTP/2
Host: 0a10009104047ab8805d535300bf009f.web-security-academy.net
Cookie: session=atfLz50C4MZBqIcGa0rBRtUh4dMO1ppk
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
Referer: https://0a10009104047ab8805d535300bf009f.web-security-academy.net/filter?category=Pets

En cambio al inyectar el payload 'and'1337'='1338, la condición no se cumple, y por lo tanto, no se obtiene información:

hashtag
Obtener el número de columnas de la tabla

Para poder extraer información de la base de datos, antes hay que conocer el número de columnas y luego será necesario insertar los datos de salida coincidentes con el tipo de dato de su columna respectiva.

Se puede realizar de forma manual enviando el payload hasta obtener un error o se puede automatizar con intruder:

  1. Añadir el punto de inserción del payload en la petición:

  1. Generar la lista de payloads e pegarla en intruder:

  1. Ejecutar el ataque y analizar la respuesta. Como se puede observar, a partir de la columna 4 genera un error en la base de datos, por lo tanto, el número de columnas de la tabla será 2.

hashtag
Obtener las columnas que pueden contener texto

Para ello, se tendría que generar la lista de payloads de acuerdo al número de columnas (3) obtenido en el laboratorio anterior Cómo identificar las columnas que permiten insertar texto en una inyección SQL UNION.

Con este script de bash oneliner se puede obtener la lista de payloads en base al número de columnas (cols) que tiene la tabla de la consulta SQL manipulada:

Esta lista, se inserta en intruder, de la misma forma que en el laboratorio anterior.

Al ejecutar el ataque, se puede observar cómo los campos que permiten la inserción de texto, responden con el código 200 y también se observa una diferencia en el tamaño de la respuesta:

Esto quiere decir, que la columna 1 y 2 permiten insertar texto.

Esto se puede observar también desde la aplicación, observando la cadena inyectada unida al resto de información de la tabla:

Sabiendo previamente que existen las columnas username y password en la tabla users:

En la salida se obtienen los usuarios y sus contraseñas:

AnteriorLab: SQL injection UNION attack, finding a column containing textSiguienteLab: SQL injection UNION attack, retrieving multiple values in a single column

Última actualización