Usando actualización con error SQLMAP

Question

Usando actualización con error SQLMAP

#1 de grochmal (3 votos)

2

Estoy tratando de usar ACTUALIZAR o insertar después de obtener la información de la base de datos de la víctima, para eso estoy usando el comando:

sqlmap -u somewebsite.com/id=2  --sql-shell

Después de eso:

> sql-shell :  UPDATE username FROM ....

y recibo un error cada vez (también en otros sitios web):

execution of custom SQL queries is only available when stacked queries are supported

Y si escribo

SELECT username FROM ...

Obtengo resultados correctos.

He intentado buscar mucho en Google sobre esto, pero no tengo suerte, si es posible, dame algún consejo para actualizar la base de datos de la víctima. Gracias

linux ubuntu sqlmap

pregunta Samxo 05.09.2016 - 23:34

fuente

1 respuesta

Lea otras preguntas en las etiquetas linux ubuntu sqlmap

Ataque fuera de ruta TCP: ¿qué extremos deben ser vulnerables? Almacena de forma segura las credenciales básicas de autenticación en la base de datos

score 3 · Answer 1

Ahora, esto es ... ekhm ... no es el mejor lugar para hacer preguntas de sintaxis SQL.

La operación ACTUALIZACIÓN no tiene una palabra clave FROM en SQL. En otras palabras, una operación SELECT se ve de la siguiente manera:

SELECT username FROM user_table WHERE user_id = 1;

Pero la operación ACTUALIZACIÓN es:

UPDATE user_table SET username = 'myuser' WHERE user_id = 1;

(que resulta ser muy diferente de su: UPDATE username FROM ... )

Entonces sí, sqlmap está viendo dos consultas: una ACTUALIZACIÓN (gracias a la palabra clave UPDATE ) y una SELECCIONAR (gracias a la palabra clave FROM ). La mayoría de las inyecciones de SQL no permiten consultas apiladas (múltiples). Consulte esta pregunta sobre la disponibilidad de consultas apiladas en inyecciones de SQL.