被害者のデータベース情報を取得した後、UPDATEまたはinsertを使用しようとしています。そのため、次のコマンドを使用しています。
sqlmap -u somewebsite.com/id=2 --sql-Shell
その後:
> sql-Shell : UPDATE username FROM ....
そして私は毎回エラーを受け取ります(他のウェブサイトでも):
execution of custom SQL queries is only available when stacked queries are supported
そして私がタイプすれば
SELECT username FROM ...
正しい結果が得られます。
私はこれについてグーグルで調べようとしましたが、運が悪いので、できれば被害者のデータベースを更新するためのアドバイスをしてください。ありがとう
さて、これは... ekhm ... SQL構文の質問をするのに最適な場所ではありません。
SQLでは、UPDATE操作にFROM
キーワードがありません。つまり、SELECT操作は次のようになります。
SELECT username FROM user_table WHERE user_id = 1;
しかし、UPDATE操作は次のとおりです。
UPDATE user_table SET username = 'myuser' WHERE user_id = 1;
(これはあなたとはかなり異なるものになります:UPDATE username FROM ...
)
つまり、sqlmap
には、UPDATE(UPDATE
キーワードに感謝)とSELECT(FROM
キーワードに感謝)という2つのクエリが表示されます。ほとんどのSQLインジェクションでは、スタックされた(複数の)クエリを使用できません。 SQLインジェクションでのスタックされたクエリの可用性については この質問 を参照してください。