[SOLUCIONADO] Problemas con inyeccion sql a una página

Muy buenas, estoy siguiento un tutorial en el que tengo que buscar en la base de datos X cuando ejecuto este comando.

%' and 1=0 union select null, table_name from information_schema.tables #     Y comprueba que esa tabla existe.

%' and 1=0 union select null, table_name from information_schema.tables where table_name like 'user%'#  Si pongo este comando me da los datos de usuarios de la tabla information_schema.  El problema es si lo pongo con el nombre de la tabla que corresponde, me muestra como resultado SELECT command denied to user 'dvwa'@'localhost' for table 'tables'   eso quiere decir que el comando esta bloqueado, es decir, lo tengo que hacer de otra forma?? Sé que es muy basiquero pero según los ejemplos creo que deberia de darme el resultado. Comentar cualquier cosa que pueda aportarme para aprender gracias

el primer payload que pones devuelve una lista con todas las tablas de la base de datos:

1' and 1=0 union select null, table_name from information_schema.tables#

y el segundo que mandas esta mal echo, se supone que queres ver el contenido de la tabla "user" en la base de datos

1' and 1=0 union select null, table_name from information_schema.tables where table_name like 'user' #

lo que esta en rojo esta mal, fijate y corregilo.

Para cerrar el payload no siempre funciona el comentario # por lo que te recomiendo usar --+ (te lo digo porque deduzco que estas aprendiendo a testear con DVWA y con # no te va a tomar la sentencia, lo demás esta bien.

Saludos!

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  muchas gracias por contestar y sí esto es lo primero que hago pero te xplico haber si lo hago bien o mal, yo quiero ver en la tabla por ejemplo underc0de  la lista de usuarios.... en ese caso pondria yo deduzco que tendria que poner esto 

1' and 1=0 union select null, table_name from underc0de.tables where table_name like 'user' #   Hay según lo que yo creo es, dame de la tabla underc0de  y dame los usuarios, es asi???  quizás es lo que yo planteo mal

Tomando tu ejemplo, para sacar los usuarios de la tabla "underc0de" tenes que conocer cual es el nombre de la columna que los contiene y suponiendo que es "users" el payload que pusiste esta completamente mal, y quedaría así:

1'+and+1=0+union+select+null,concat(users)+from+underc0de--+

columna que contiene los nombres de usuario

tabla que contiene las columnas

la consulta que mandamos dice algo como que: nos concatene (muestre) los datos guardados en la columna "users" de la tabla "underc0de" por fila.


Saludos!

Muchisimas gracias por tu ayuda @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  en la solución que me das, me sale que no existe user en field  nose que. Llegados a este punto, daré por cerrado el tema ya que se me plantean demasiadas dudas, y creo que es por que me estoy impacientando y necesito tiempo para entender todo esto que no se aprende en dos dias.

Por otro lado he descubierto la aplicacion tamper data para cazar cookies e intentar sqlmap y asi obtener datos de forma automatica, pero tampoco me funciona me pone error. Lo dicho demasiadas dudas que tengo que comprender.


Pd  de verdad epsilon gracias por ayudarme y atenderme, y mas adelante cuando lo solucione o cuando me surjan dudas concretas las postearé o pondré la solucion por basica que sea xD  gracias

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta justo te iba a decir que te tomes tu tiempo para ver y aprender sobre este tema que es medio complejo y largo, pero una vez que le agarras la mano es fácil, con la practica se logra todo.

PD: El error que te da significa que la columna users no existe en X tabla.
(doy por solucionado el tema, cualquier duda que tengas la planteas en esta misma sección).

Saludos!