La palabra clave UNION ayuda a la explotación porque permite la ejecución de una instrucción SELECT adicional y proporciona los resultados en la misma consulta, concatenando así dos consultas en una instrucción.
Para que los ataques UNION SQLi funcionen, primero debemos cumplir dos condiciones:
La consulta UNION
inyectada debe incluir el mismo número de columnas que la consulta original.
Los tipos de datos deben ser compatibles entre cada columna.
Antes de diseñar cualquier estrategia de ataque, necesitamos saber el número exacto de columnas presentes en la tabla de destino.
Para descubrir el número correcto de columnas, podemos enviar la siguiente consulta inyectada en el campo de inut de usuario:
' ORDER BY 1-- //
Y seguir incrementando el número hasta que nos de error, como aquí, a la columna 6 nos ha dado error, por lo que nos indica que estamos tratando en una tabla con 5 columnas:
Con esta información en mente, podemos intentar nuestro primer ataque enumerando el nombre de la base de datos actual, el usuario y la versión de MySQL.
' UNION SELECT null, null, database(), user(), @@version -- //
Ahora, podemos enumerar otras tablas en la base de datos actual, para ello vamos a extraer columnmas y tablas de information_shema que pertenezca a la actual base de datos.
' union select null, table_name, column_name, table_schema, null from information_schema.columns where table_schema=database() -- //
Este output confirma que las terceras columnas confirman el nombre de la tabla, de la columna y de la base de datos actual, y podemos ver que hay una tabla lalmada users que contiene cuatro columnas, id, username, password y description, vamos a intentar dumpearla:
' UNION SELECT null, username, password, description, null FROM users -- //
