En MySQL no puedes por ejemplo hacer dos select, digamos que la query "select * from test where id = $_GET[id]", en ese caso id no puede transformarse en otra query como lo hace mssql "where id = (select id from x limit 1)".
Ahora, como en mssql podemos encerrar nuevas querys una dentro de otra forzamos a que nos mande error y eso lo podemos lograr con la función "convert()" y hay muchas mas, ahora decimos que convert deve aceptar solo numeros integers:
Código:
CONVERT(int, test)
Con eso decimos que test debe ser obligadamente integer, pero que pasa si le entregamos un valor que no sea un número?
Código:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Error de sintaxis al convertir el
valor nvarchar 'A35678956' para una columna de tipo de datos int.
/cgi-bin/datos.asp, línea 25
Entonces donde está la inyección le enviamos el convert y hacemos la query de la columna que queremos sacar.
Digamos que atraves de errores ya sacaste las tablas, puedes ir intentando con havving como explicaron mas arriba y con eso ya obtienes las tablas y columnas y puedes comenzar a hacer querys a cada valor que te pueda interesar.
Por ejemplo
Código:
test.asp?id=convert(int, (select password from usuarios where nick = 'admin')) --
Se entiende correctamente, pero lo dudo bastante, dentro de MySQL seh se puede hacer. Pero dentro de este tipo de inyeccion se trabaja bajo MSSQL, si te sirve de algo, esta consulta lista todas las tablas de una base de datos.
Código
USE Base_de_Datos SELECT * FROM Information_Schema.TABLES
schema no existe en mssql.
Saludos.