No bloquea:
select @@version
(https://k60.kn3.net/1/3/1/1/7/9/AE6.png)
Bloquea:
EXEC sp_configure 'xp_cmdshell', 1
EXEC xp_cmdshell 'ifconfig'
(https://k60.kn3.net/63673FFEC.png)
(https://k60.kn3.net/6A818DE4F.png)
Ni siquiera se puede habilitar el xp_cmdshell porque hasta para habilitarlo se ocupa usar EXEC.
Las querys son lanzadas a otro servidor con SQL server 2012 dentro de la misma LAN con autentificación connection string.
En el equipo de donde lanzan las querys es un windows servers 2008 de 64 bits con privilegios de administrador con acceso desde una aspx shell.
Hay alguna otra forma de hacer este ataque? creo que algún firewall bloquea esta peticiones.
Saludos
Tirale sqlmap
Si no anda de una, pasale --identify-waf
Tambien tirale --help y fijate lo que sale en la parte de Injection, te pueden servir
Creo que tambien te pude servir tirarle --technique con una sola y fijarte si alguna anda