A tu última pregunta:
Alternativamente, ¿qué más puedo hacer para que el sistema muestre?
En general, depende de cómo se configura el servidor SQL y de si hay algunas mitigaciones presentes. Pero el atacante puede no solo mostrar las contraseñas de los usuarios, sino que también puede intentar:
- lee y escribe en varios archivos;
- escribe en la base de datos y lee de ella;
- hacer DoS y otras acciones dañinas;
Cada operación depende de varios factores, como, cómo dije: la presencia de factores de mitigación, permisos de archivos, configuración del sistema, etc.
Por cierto, para el atacante no es necesario mostrar el resultado de la solicitud de SQL. En el caso en que el atacante no puede ver la respuesta, hace que el proceso de extracción de información sea más lento y difícil, pero no imposible.
Si está interesado, le sugiero que lea el blog de Bernardo Damele, el creador de sqlmap: enlace . Hay presentaciones y lecturas interesantes sobre lo que se puede hacer y cómo.