Hola a todos, estoy empezando con las SQL INJECTIONS, y me topé con una página hecha en ASP y con SqlServer que creo que puede tener una vulnerabilidad, cuando pongo la ' me sale esto:

si pongo 'or 1=1 -- me sale :

y ahí es donde está mi problema, ponga lo que ponga después del ' me da error de sintaxis; si pongo cualquier palabra me dice "Sintaxis incorrecta cerca de dsfsdf", mientras que si pongo un OR, AND, UNION o cualquier palabra clave, me sale "Sintaxis incorrecta cerca de la palabra clave 'or'", o sea que detecta cuando es una palabra clave, y cuando no.
No se si tendrá algo de seguridad la bd, pero he probado agregando --, o /* y // y no hay caso, siempre me tira el error en la primer palabra que encuentra después de la '.  Lo que me parece es que se arma un XML y eso es lo que se pasa a algún otro lado (?). Y parece que no funciona esto <password>'or 1=1</password>
Alguien sabrá como puedo continuar para obtener más información? o me conviene buscar una página que sea un poco más fácil para comenzar?
Muchas Gracias!

gracias por la respuesta, probé con or '1'='1' y con or '1'='1' -- y me sale

o sea que encuentra siempre error de sintaxis después de '. Y si no pongo ', obviamente me dice password incorrecto

mmm lo leo y te contesto si? xD gracias

Es bastante interesante el caso con el que te tropezaste (?. Por que la query que realiza la aplicación la hace con XML (de ahi los tags que ves ahi). Investiga un poco del tema y vas a poder inyectarlo sin problema.

vhalde, en tu caso tenes una llamada a un store procedure. Rellena bien los parámetros que te solicita e intenta hacer un stack de sentencias para realizar la inyección.