it-swarm.com.de

Einfügen von Daten in eine Tabelle mit sqlmap mithilfe des Befehls sql-query

Ich verwende sqlmap auf einer Testsite und wollte einige der Daten in einer Tabelle ändern. Verwenden des Schalters --sql-query.

  • Was ist die richtige Syntax?

    beispiel: ist es --sql-query="My_query_here"?
    Oder vielleicht ist es --sql-query='myqueryhere'?

  • Wie kann ich mehrere Datenzeilen ändern?

    beispiel: Angenommen, ich wollte alle Daten durch die Wörter ersetzen. Spiel ist aus

  • Ist es möglich, in eine Muschel zu fallen?

9
Digital fire

In den meisten Datenbanken können Sie nicht nur Daten mit SQL Injection einfügen (es sei denn, Sie befinden sich bereits in einer Einfügeabfrage und können den Tabellennamen normalerweise auch dann nicht steuern). Sie können Abfragen nicht einfach stapeln, was nur in Microsoft SQL Server, PostgreSQL und Comics zulässig ist. Sie können eine Unterauswahl oder eine Vereinigungsauswahl verwenden, um auf Daten aus einer anderen Tabelle zuzugreifen, und SQLMap tut dies hinter den Kulissen.

Die wahre Stärke von SQLMap liegt in der Datenexfiltration. Wenn Sie etwas Komplexeres wollen, wie einen mehrstufigen Angriff, der Ihnen eine Shell gibt, müssen Sie einen Exploit schreiben . Nehmen Sie die Stützräder ab und seien Sie Mann (oder Frau).

13
rook

sie können eine Shell mit der Option --sql-Shell verwenden. Zum Beispiel in Kali:

sqlmap -u TARGET -D DBNAME --sql-Shell

Jedoch,

einige Webanwendungstechnologien unterstützen keine gestapelten Abfragen auf bestimmten Datenbankverwaltungssystemen. Zum Beispiel unterstützt PHP keine gestapelten Abfragen, wenn das Back-End-DBMS MySQL ist, aber es unterstützt, wenn das Back-End-DBMS PostgreSQL ist.

von sqlmap readme

12
Amin Saqi