Sto usando sqlmap su un sito di test e volevo modificare alcuni dei dati all'interno di una tabella. Usando lo switch --sql-query .
Qual è la sintassi corretta?
esempio: è --sql-query="My_query_here" ?
o forse è --sql-query='myqueryhere' ?
Come potrei modificare più righe di dati?
esempio: supponiamo di voler sostituire tutti i dati con le parole. Game Over
È possibile rilasciare una shell?
La maggior parte dei database non consente di inserire semplicemente i dati utilizzando SQL Injection (a meno che non si sia già in una query di inserimento e anche in questo caso non è possibile controllare il nome della tabella). Non è possibile semplicemente impilare le query, che è consentito solo in Microsoft SQL Server, PostgreSQL e nei fumetti. È possibile utilizzare una selezione secondaria o unione per accedere ai dati da un'altra tabella e SQLMap sta eseguendo ciò dietro le quinte.
Il vero punto di forza di SQLMap è l'estrazione dei dati. Se vuoi qualcosa di più complesso, come un attacco multistato che ti dà una shell, allora devi scrivere un exploit . Togliti le ruote del training e sii uomo (o donna).
puoi prendere una shell con l'opzione --sql-shell . Ad esempio in Kali:
sqlmap -u TARGET -D DBNAME --sql-shell
Tuttavia,
some web application technologies do not support stacked queries on specic database management systems. For instance, PHP does not support stacked queries when the back-end DBMS is MySQL, but it does support when the back-end DBMS is PostgreSQL.
Leggi altre domande sui tag sql-injection