Есть boolean-based blind, есть waf (mod_security), вытащил дб/юзера/хост ч-з sqlmap с набором стандартных тамперов. Но при попытках вытащить таблицы и проч., натыкаюсь на waf'ную 406 ошибку.

Вижу вектор движения: information -> inform%0bation (так отрабатывает), но уперся в автоматизацию этого действия. Есть какие-то решения?

DIOS - DUMP IN ONE SHOT. Технология SQL Injection с помощью которой можно вывести все таблицы столбцы а далее в тот же скуль мап ты уже можешь указать имя конкретной таблицы. Это как один из вариантов.

особенно актуально с blind

OUT OF BAND - как вариант.

Как подъёб звучал

Подъёб засчитан.

oob есть не для всех бд, тут скорее речь о mysql

Полностью согласен. Но вдруг....

Благодарю, но не сработало.

Я так понимаю, что СУБД MySQL?