it-swarm-eu.dev

Come inserire dati in una tabella con sqlmap usando il suo comando sql-query

Sto usando sqlmap su un sito di test e volevo modificare alcuni dei dati all'interno di una tabella. Utilizzando l'interruttore --sql-query.

  • Qual è la sintassi corretta?

    esempio: è --sql-query="My_query_here"?
    o forse è --sql-query='myqueryhere'?

  • Come potrei modificare più file di dati?

    esempio: supponiamo che volessi sostituire tutti i dati con le parole. Gioco finito

  • È possibile inserire una shell?

9
Digital fire

La maggior parte dei database non consente di inserire semplicemente i dati utilizzando SQL Injection (a meno che, ovviamente, non si stia già eseguendo una query di inserimento e anche in genere non sia possibile controllare il nome della tabella). Non è possibile semplicemente impilare query, ciò è consentito solo in Microsoft SQL Server, PostgreSQL e fumetti. È possibile utilizzare una sottoselezione o unione per accedere ai dati da un'altra tabella e SQLMap lo sta facendo dietro le quinte.

Il vero punto di forza di SQLMap è l'esfiltrazione dei dati. Se vuoi qualcosa di più complesso, come un attacco a più fasi che ti dà una Shell, allora devi scrivere un exploit . Togli le ruote da allenamento e sii uomo (o donna).

13
rook

puoi prendere una Shell di --sql-Shell opzione. Ad esempio in Kali:

sqlmap -u TARGET -D DBNAME --sql-Shell

Però,

alcune tecnologie di applicazioni Web non supportano query sovrapposte su sistemi di gestione di database specifici. Ad esempio, PHP non supporta query sovrapposte quando il DBMS back-end è MySQL, ma supporta quando il DBMS back-end è PostgreSQL.

da readme sqlmap

12
Amin Saqi