bueno he encontrado un blind sql injection en una web e intentando usar blind sql en mysql y he sacado la version mysql,el usuario de mysql,el nombre de la base de datos y una sola tabla valida .. tambien saque cuantas tablas existen en la base de datos pero no consigo obtener datos .. he intentado hacer algo como esto:

injection:

-1+union+all+select+1,table_name,3,4,5,6,7,8,9+from+information_schema.tables+where+table_schema+=+database()
y obtuve:

SELECT command denied to user 'root'@'localhost' for table 'tables'

y eso me quita varias posibilidades que se .. tambien hice:

-1+UNION+ALL+SELECT+1,2,3,@@version,5,6,7+FROM+noticias/*

y saque la version pero no encuentro alguna columna valida mi pregunta es .. que programa de automatizaciòn me puede servir con los datos que obtuve para sacar otras tablas o otras base de datos y como podria obtener algunas columna de las tablas?

o que posibilidades hay de que pueda sacar datos de forma exitosa? al parecer esa web esta hecha por algun servicio de diseño web y varias paginas de ese mismo servicio son vulnerables .. todas ellas corren sobre servidores windows.

salu2!

gracias intentare una vez màs buscar una soluciòn . tambien encontre un poco de ayuda en otro post de este foro.saludos!