# SQL injection - Portswigger Yêu cầu: - Đọc toàn bộ lý thuyết về SQL Injection tại đây: <https://portswigger.net/web-security/sql-injection> - Hoàn thành các bài labs thuộc chủ đề SQL Injection tại: <https://portswigger.net/web-security/all-labs> Ouput: - Chụp ảnh các bài labs đã giải được - Viết writeups các bài đã giải được - Điểm số sẽ tính theo tỉ lệ các bài labs giải được ![](https://i.imgur.com/9MTHyBh.png) ## SQL injection examples There are a wide variety of SQL injection vulnerabilities, attacks, and techniques, which arise in different situations. Some common SQL injection examples include: * Retrieving hidden data, where you can modify an SQL query to return additional results. * Subverting application logic, where you can change a query to interfere with the application's logic. * UNION attacks, where you can retrieve data from different database tables. * Examining the database, where you can extract information about the version and structure of the database. * Blind SQL injection, where the results of a query you control are not returned in the application's responses. ## Retrieving hidden data ### Lab: SQL injection vulnerability in WHERE clause allowing retrieval of hidden data ![](https://i.imgur.com/FJt1blu.png) Access vào bài lab, ngay tại trang home cho phép ta search theo category ![](https://i.imgur.com/udZDJUo.png) Thử sqli với payload là `?category=Pets'-- -` ![](https://i.imgur.com/6tDKAdX.png) Để list ra tất cả product theo yêu cầu của bài lab, sử dụng payload sau: `?category=' or true -- -`, kết quả: ![](https://i.imgur.com/GDN0C8d.png) ## Subverting application logic ### Lab: SQL injection vulnerability allowing login bypass ![](https://i.imgur.com/0AykPpQ.png) Bài lab yêu cầu ta login với tài khoản `administrator`, nhưng ta không có password. ![](https://i.imgur.com/VXL45rl.png) Có thể sử dụng sqli để bypass login `csrf=<csrf>&username=administrator'-- -&password=blabla` ![](https://i.imgur.com/jJsovSW.png) Kết quả ![](https://i.imgur.com/qgmGj1g.png) ## SQL injection UNION attacks ### Determining the number of columns required in an SQL injection UNION attack #### Lab: SQL injection UNION attack, determining the number of columns returned by the query ![](https://i.imgur.com/5s7S7K3.png) Bài lab yêu cầu ta chỉ cần tấn công sqli để trả về thêm một row chỉ gồm các giá trị null. Access vào lab, ta thấy có chức năng lọc ra các kết quả dựa trên GET param `result` ![](https://i.imgur.com/qFQhqvC.png) Để tìm số cột hiện tại ta dùng đoạn payload `UNION SELECT NULL-- -` ![](https://i.imgur.com/WX5Jn5X.png) Tiếp tục điều chỉnh số lượng "SELECT NULL" cho đến khi server không báo lỗi ![](https://i.imgur.com/lXW2SVe.png) ### Finding columns with a useful data type in an SQL injection UNION attack ![](https://i.imgur.com/f0SLTTk.png) Từ yêu cầu bài lab, đầu tiên ta sẽ cần tìm số cột sau đó là tìm cột chứa kiểu dữ liệu dạng string và cuối cùng là select chuỗi `PBh4Ke`: ![](https://i.imgur.com/7RErOIi.png) Sử dụng cách tương tự như bài trước, ta tìm được số cột là 3: ![](https://i.imgur.com/sL27Cfk.png) Tiếp theo thực hiện thay lần lượt `PBh4Ke` vào các vị trí của `NULL`: ví dụ `Pets' UNION SELECT 'PBh4Ke', NULL, NULL--` ... cho đến khi solve bài lab ![](https://i.imgur.com/aPVb3bo.png) ### Using an SQL injection UNION attack to retrieve interesting data #### Lab: SQL injection UNION attack, retrieving data from other tables ![](https://i.imgur.com/PIBMdmA.png) Dựa vào yêu cầu bài lab, ta cần union sqli attack để lấy ra hết username và password sau đó login vào tài khoản của user `administrator` Tìm được số cột là 2 đồng thời cả hai cột này đều chứa kiểu dữ liệu dạng string ![](https://i.imgur.com/eTIxiYk.png) Tiếp theo select ra username và password từ table users ![](https://i.imgur.com/DfhjLF1.png) Và login vào account administrator ![](https://i.imgur.com/09KJi3Q.png) ### Retrieving multiple values within a single column #### Lab: SQL injection UNION attack, retrieving multiple values in a single column ![](https://i.imgur.com/HkC3AtA.png) Bài này khác với bài trước ở chỗ, chỉ có một cột chứa data kiểu string ![](https://i.imgur.com/SEmB2Pp.png) Dùng concat operator `||` để nối giá trị của hai cột `username` và `password` trong table users lại với nhau ![](https://i.imgur.com/0zyBcyj.png) Và login với account administrator để solve bài lab ![](https://i.imgur.com/gE7qZkl.png) ## Examining the database ### Querying the database type and version #### Lab: SQL injection attack, querying the database type and version on Oracle ![](https://i.imgur.com/En3ElMm.png) Ở Oracle database, khi select yêu cầu ta phải cung cấp đầy đủ clause của câu SELECT, có nghĩa là phải cần FROM <table_name> vì vậy ta có thể dùng built-in table `dual` để bắt đầu tìm số cột ![](https://i.imgur.com/ykrI0Va.png) => 2 cột Tiếp đó ta cần select ra version của database, table v@version có cấu trúc như sau ![](https://i.imgur.com/FAdtnuW.png) Payload cuối cùng ![](https://i.imgur.com/QQcvtCd.png) #### Lab: SQL injection attack, querying the database type and version on MySQL and Microsoft Cách làm tương tự như bài trước nhưng ở mysql và microsoft thì đơn giản hơn chỉ cần dùng hàm version() ![](https://i.imgur.com/YenIQuO.png) ### Listing the contents of the database #### Lab: SQL injection attack, listing the database contents on non-Oracle databases ![](https://i.imgur.com/lXeRNIy.png) Bài này ta sẽ cần phải đi theo trình tự các bước: tìm số cột -> tìm cột trả về data kiểu string -> tìm loại database -> tìm tên table lưu username và password -> login với user administrator. Làm tương tự như các bước ở trên tìm được sốt cột là 2 và cột trả về string là cột thứ nhất. Tiếp theo ta tìm được tên table đáng nghi chứa username và password là `users_frbrma` ![](https://i.imgur.com/j2kOp8B.png) Hai column tương ứng là `username_cseemm` và `password_uqtumb` ![](https://i.imgur.com/CLv1vOS.png) Cuối cùng là tìm admin password ![](https://i.imgur.com/f7Qrhrf.png) Login với admin account ![](https://i.imgur.com/fnNuFso.png) ### Equivalent to information schema on Oracle #### Lab: SQL injection attack, listing the database contents on Oracle ![](https://i.imgur.com/WY1K0hJ.png) Tương tự như bài lab trước nhưng đây là Oracle - `Gifts' UNION SELECT table_name, 'a' FROM all_tables-- -` -> tìm được table name là `USERS_OTLFUW` - `Gifts' UNION SELECT column_name, 'a' FROM all_tab_columns where table_name = 'USERS_OTLFUW'-- -` -> Column name tương ứng là `USERNAME_YQMCLX` và `PASSWORD_THZBBY` ![](https://i.imgur.com/f7KAX9S.png) Và login vào admin account ![](https://i.imgur.com/Erl5MBo.png) ## Blind SQL injection ### Exploiting blind SQL injection by triggering conditional responses #### Lab: Blind SQL injection with conditional responses ![](https://i.imgur.com/igL395i.png) Từ đề bài ta biết được, server sử dụng cookie và đưa vào câu truy vấn SQL để xử lí gì đó. Thử sqli, ta nhận thấy được nếu câu truy vấn trả về giá trị thì sẽ hiện ra dòng chữ `Welcome back!` ngược lại không hiển thị gì. ![](https://i.imgur.com/02i0FKp.png) Script brute admin password ![](https://i.imgur.com/3Bzihy6.png) Login với admin password và kết quả ![](https://i.imgur.com/2PisFu2.png) ### Inducing conditional responses by triggering SQL errors #### Lab: Blind SQL injection with conditional errors ![](https://i.imgur.com/tmz0Kq1.png) Ở bài lab này, ta cần trigger error trong câu truy vấn để server trả về trang chứa lỗi ![](https://i.imgur.com/mVzzVnC.png) Vì database là oracle, ta có thể lợi dụng hàm `TO_CHAR(1/0)` để trigger lỗi Vẫn là sqli ở cookie, script để brute password như sau ![](https://i.imgur.com/OMhWnvs.png) Login vào account admin, kết quả ![](https://i.imgur.com/6b6SVVS.png) ### Exploiting blind SQL injection by triggering time delays #### Lab: Blind SQL injection with time delays ![](https://i.imgur.com/6y5Ut8I.png) Từ yêu cầu bài lab, ta chỉ cần trigger time delay 10s là có thể solve ![](https://i.imgur.com/o23CCR6.png) và ![](https://i.imgur.com/41zvJCP.png) #### Lab: Blind SQL injection with time delays and information retrieval ![](https://i.imgur.com/miJ0qjB.png) Time base sqli với database là Postgre ![](https://i.imgur.com/zytDTNO.png) Script để brute password ![](https://i.imgur.com/6VJaBnz.png) Kết quả ![](https://i.imgur.com/db1OpB7.png) ### Exploiting blind SQL injection using out-of-band (OAST) techniques #### Lab: Blind SQL injection with out-of-band interaction ![](https://i.imgur.com/hLIG7H1.png) Trigger DNS lookup với payload ![](https://i.imgur.com/Y2aKpnI.png) Request đến burp collaborator client ![](https://i.imgur.com/sc3hnxC.png) và solve bài lab ![](https://i.imgur.com/gobMkhf.png) #### Lab: Blind SQL injection with out-of-band data exfiltration ![](https://i.imgur.com/RGRw2QZ.png) Ở bài lab này, ta cần phải login được vào admin account với password lấy được bằng cách áp dụng sqli out-of-band như ở lab trước Payload như sau: ![](https://i.imgur.com/G8wAXpw.png) DNS query: ![](https://i.imgur.com/6UzQcYE.png) Solve lab ![](https://i.imgur.com/puiZULz.png) ## SQL injection in different contexts ### Lab: SQL injection with filter bypass via XML encoding ![](https://i.imgur.com/QDgOkWb.png) SQLI bypass filter với XML encode Tìm tên table - `users` ![](https://i.imgur.com/OMjW7lK.png) Gồm hai column là `password` và `username` ![](https://i.imgur.com/Vl3Ro6R.png) Tìm được password của admin ![](https://i.imgur.com/JMoADWR.png) Login với admin password và solve bài lab ![](https://i.imgur.com/hTNlnsX.png) ###### tags: `portswigger`