Lab*4-Sqli
Laboratorio 4
En este laboratorio vamos a realizar una SQL Injection tipo Microsoft donde las querys que vamos a utilizar cambian. Pero el vector de ataque es prácticamente el mismo
Resolución
Vemos la web, observamos que son un grupo de artículos que podemos filtrar por categorías, vamos a pasarlo por burpsuite para analizarlo
Vamos a intentar un Union attack, pero antes vamos a utilizar la query order by para dar con la cantidad de columnas
Tiene dos columnas, por tanto, vamos a realizar el Union attack teniendo esto en cuenta
Obs: Como es MSQL (Microsoft SQL), no hay necesidad de mencionar una tabla, como lo hemos hecho en Oracle SQL
En este punto solo nos queda usar uno de los dos campos para representar la versión, les vuelvo a pasar la página donde pueden ver los tipos de query dependiendo del tipo y la versión (Link de la guía -> Portswigger-guía)
Conclusión
Con esto damos por terminado el 4 laboratorio, como siempre, cualquier duda o consulta tienen la sección de comentarios