UNION SQL 인젝션
2021. 4. 7. 21:40ㆍ웹 취약점
실습사이트 - testphp.vulnweb.com/categories.php
picture categories
categories PostersLorem ipsum dolor sit amet, consectetuer adipiscing elit. Donec molestie. Sed aliquam sem ut arcu. Phasellus sollicitudin. Vestibulum condimentum facilisis nulla. In hac habitasse platea dictumst. Nulla nonummy. Cras quis libero. Cras ven
testphp.vulnweb.com
실습사이트에 접속후 아무 그림이나 하나 클릭한다.
url에 끝에 and 1=0 union select null, user(), null, null, null, null, null, null, null, null, null# 구문을 삽입한다.
주의할점은 union구문의 필드개수 와 타입이 데이터베이스의 필드개수와 타입이 일치하여야 공격이 성공한다.
일치하지 않으면 오류가 발생.
공격이 성공하면 기존 쿼리결과는 출력되지않고 두번째 필드에 user() 컬럼의 정보가 출력된다.
'웹 취약점' 카테고리의 다른 글
| 에러기반 sql 인젝션 (0) | 2021.04.11 |
|---|---|
| UNION SQL 인젝션 활용 (0) | 2021.04.11 |
| Time 기반 sql 인젝션/실습 (0) | 2021.04.07 |
| Blind sql 인젝션/실습 (0) | 2021.04.07 |
| sql 인젝션 실습 (0) | 2021.04.06 |