Cómo insertar datos en una tabla con sqlmap usando su comando sql-query

9

Estoy usando sqlmap en un sitio de prueba y quería modificar algunos de los datos dentro de una tabla. Usando el interruptor --sql-query .

  • ¿Cuál es la sintaxis correcta?

    ejemplo: ¿es --sql-query="My_query_here" ?
    o tal vez es --sql-query='myqueryhere' ?

  • ¿Cómo podré modificar varias filas de datos?

    ejemplo: digamos que quería reemplazar todos los datos con las palabras. Game Over

  • ¿Es posible colocar una shell?

pregunta Digital fire 08.10.2012 - 19:05
fuente

2 respuestas

13

La mayoría de las bases de datos no le permiten simplemente insertar datos utilizando la inyección de SQL (a menos que, por supuesto, ya esté en una consulta de inserción e incluso en ese caso no pueda controlar el nombre de la tabla). No puede simplemente apilar consultas, eso solo está permitido en Microsoft SQL Server, PostgreSQL y cómics. Puede usar una selección secundaria o selección conjunta para acceder a los datos de otra tabla, y SQLMap lo está haciendo entre bambalinas.

La verdadera fortaleza de SQLMap está en la exfiltración de datos. Si quieres algo más complejo, como un ataque de múltiples etapas que te da un shell, entonces debes escribir una vulnerabilidad / a>. Quítate las ruedas de entrenamiento y sé hombre (o mujer).

    
respondido por el rook 08.10.2012 - 19:54
fuente
11

puedes tomar un shell con la opción --sql-shell . Por ejemplo en Kali:

sqlmap -u TARGET -D DBNAME --sql-shell

Sin embargo,

  

algunas tecnologías de aplicaciones web no admiten consultas apiladas en   Sistemas específicos de gestión de bases de datos. Por ejemplo, PHP no lo hace   admite consultas apiladas cuando el DBMS back-end es MySQL, pero sí lo hace   soporte cuando el DBMS back-end es PostgreSQL.

desde léame de sqlmap

    
respondido por el AminSaghi 18.11.2013 - 11:09
fuente

Lea otras preguntas en las etiquetas