SQLMAP - how zum einfügen in eine Datenbank, wenn gestapelt Abfragen sind nicht möglich auf einem MYSQL-server?
Ziehen Datenbank-Tabellen und Spalten funktioniert gut mit SQLMAP, aber als ich versuchen, eine INSERT-Anweisung auszuführen, bekomme ich folgenden Fehler:
Abfrage:
sqlmap -u "http://www.example.com/details.php?item_id=327" -D main_db -T orders --columns --sql-query \ "INSERT INTO orders (order) VALUES ('test')"
Table:orders
+---------+----------+
| Column | Type |
+---------+----------+
| order | longtext |
| data | date |
| timp | time |
+---------+----------+
[22:47:50] [WARNING] execution of custom SQL queries is only available when stacked queries are supported
INSERT INTO orders (order) VALUES ('test'): None
[22:47:50] [INFO] fetched data logged to text files under '/root/.sqlmap/output/www.example.com'
Gibt es eine Problemumgehung für die änderung der Datenbank mittels SQLMAP auf einem MYSQL-server?
InformationsquelleAutor Edmond Tamas | 2016-02-17
Du musst angemeldet sein, um einen Kommentar abzugeben.
Meisten Datenbanken erlauben nicht nur das einfügen von Daten mithilfe von SQL-Injection (es sei denn, Sie sind bereits in einer insert-Abfrage und selbst dann müssen Sie in der Regel nicht kontrollieren kann der name der Tabelle). Sie können nicht einfach Stapel-Abfragen, dass ist nur in Microsoft SQL Server, PostgreSQL und comic-Bücher. Sie können ein sub-select oder union wählen, um auf Daten aus einer anderen Tabelle, und SQLMap ist, dies zu tun hinter den kulissen.
SQLMap die wirkliche Stärke ist in der Daten-exfiltration. Wenn Sie etwas mehr Komplex, wie eine mehrstufige Attacke, die Ihnen aus der Schale, dann müssen Sie, einen exploit zu schreiben. Nehmen Sie die Stützräder und man (oder Frau).
Antwort schändlich kopiert von hier
InformationsquelleAutor xXAlphaManXx