Estoy usando sqlmap en un sitio de prueba y quería modificar algunos de los datos dentro de una tabla. Usando el interruptor --sql-query .
¿Cuál es la sintaxis correcta?
ejemplo: ¿es --sql-query="My_query_here" ?
o tal vez es --sql-query='myqueryhere' ?
¿Cómo podré modificar varias filas de datos?
ejemplo: digamos que quería reemplazar todos los datos con las palabras. Game Over
¿Es posible colocar una shell?
La mayoría de las bases de datos no le permiten simplemente insertar datos utilizando la inyección de SQL (a menos que, por supuesto, ya esté en una consulta de inserción e incluso en ese caso no pueda controlar el nombre de la tabla). No puede simplemente apilar consultas, eso solo está permitido en Microsoft SQL Server, PostgreSQL y cómics. Puede usar una selección secundaria o selección conjunta para acceder a los datos de otra tabla, y SQLMap lo está haciendo entre bambalinas.
La verdadera fortaleza de SQLMap está en la exfiltración de datos. Si quieres algo más complejo, como un ataque de múltiples etapas que te da un shell, entonces debes escribir una vulnerabilidad / a>. Quítate las ruedas de entrenamiento y sé hombre (o mujer).
puedes tomar un shell con la opción --sql-shell . Por ejemplo en Kali:
sqlmap -u TARGET -D DBNAME --sql-shell
Sin embargo,
algunas tecnologías de aplicaciones web no admiten consultas apiladas en Sistemas específicos de gestión de bases de datos. Por ejemplo, PHP no lo hace admite consultas apiladas cuando el DBMS back-end es MySQL, pero sí lo hace soporte cuando el DBMS back-end es PostgreSQL.
desde léame de sqlmap
Lea otras preguntas en las etiquetas sql-injection