这种在sqlmap中查询SQL Server 2008R2链接服务器时，固定返回4行不完整结果（比如[*] A [*] 1 [*] [*]）的情况，我在实际渗透测试中碰到过几次，大概率是以下几个原因导致的，你可以逐一排查：

• 链接服务器结果集解析异常
  SQL Server 2008R2的链接服务器对特殊字段类型（比如uniqueidentifier、自定义数据类型）的返回结果，sqlmap的解析逻辑可能不兼容。首先你可以在SSMS中直接执行相同的查询select UID from XXXX where NickName = 'XXX'，确认原生返回的结果是否正常。如果SSMS里能得到完整正确的UID值，那基本可以确定是sqlmap对链接服务器返回结果的解析出了问题。

• sqlmap参数或输出格式限制
  检查下你执行sqlmap时用的参数：比如是否误加了--limit、--offset这类限制行数的参数；或者开启了--quiet、--batch导致部分结果被压制。另外，sqlmap默认会把NULL值、不可打印字符显示为[*]，如果你的UID字段存在空值或者特殊字符，也会出现这种占位符。建议尝试添加--dump参数强制导出完整结果，或者用--v 3开启详细日志，查看sqlmap实际接收到的原始响应内容。

• 链接服务器权限或行级过滤
  链接服务器使用的登录账号可能没有目标表的完整读取权限，或者目标表配置了行级安全策略（RLS）。你可以先执行select count(*) from XXXX where NickName = 'XXX'确认匹配的行数，如果count结果是1，但sqlmap返回4行，那说明查询结果被额外过滤或篡改了。另外，有些链接服务器会默认返回元数据行，也可能导致结果行数异常。

• sqlmap与SQL Server 2008R2的兼容性问题
  SQL Server 2008R2是较老的版本，sqlmap对其链接服务器的查询语法支持可能存在瑕疵。你可以尝试用显式的OPENQUERY语法重构查询：

  select * from OPENQUERY(YourLinkedServerName, 'select UID from XXXX where NickName = ''XXX''')
  

  用这种方式执行查询，看看sqlmap能否正确解析结果。

内容的提问来源于stack exchange，提问作者stevekwokdev