[SQL Injection 실습] SQL injection UNION attack, determining the number of columns returned by the query (PortSwigger)

GOAL : To solve the lab, perform a SQL injection attack that causes the application to display details of all products in any category, both released and unreleased.

(왼쪽)Gifts->기존버전 (오른 쪽)Gifts'-- ->주석 처리한 버전

 

 

주석 처리를 하니까 새로운 상품이 보인다.(+ 내가 카테고리 뒤에 쓴 값이 그대로 출력된다.. -> 정보를 여기서 출력할 수도 있을 듯) 아마 이 이유는 SQL 구문에 WHERE Categories='Gifts' AND ??? 이런식으로 있어서 해당하는 애들만 가져왔는데 아예 주석 처리하니까 그 조건(뭔진 모르지만)을 제외한 애들도 다 보여주는 듯 (즉 AND부터 다 날라가는거)

 

이런식으로 걍 주석만 없애봐도 새로운 정보를 획득할 수도 있을것 같다 항상 where절이 where 변수 = ㅁㅁ 이런식으로만 끝나는게 아닐테니까 ㅇㅇ 

 

이렇게 하니까 where 절 값이 다 true가 되어서 모두다 출력되게된다

 

order by로 칼럼 개수가 8이라는 것 알아냄

 

null 8개로 union 해주니까 잘 작동한다.

null을 union에서 쓰는 이유? -> null는 모든 데이터 타입이랑 compatible하기 때문에 따로 데이터 타입에 의한 오류를 피할 수 있다.(하지만 NullPointerException 나는 경우도 있으니까 조심)

저 사이트에서 null 대신 1,1,1,1,1,1,1,1 해줬을 때는 서버 오류가 떴다. 아마 integer(1)이랑 compatible하지 않은 column이 있어서일 것으로 보인다.

 

참고로 Oracle에서는 select 문을 할때 무조건 from을 해서 테이블명을 포함시켜주어야한다. 이때 쓰이는 테이블이 dual 테이블이다!

 

On Oracle databases, every SELECT statement must specify a table to select FROM. If your UNION SELECT attack does not query from a table, you will still need to include the FROM keyword followed by a valid table name.

There is a built-in table on Oracle called dual which you can use for this purpose. For example: UNION SELECT 'abc' FROM dual