明小子全称为明小子sql注入工具,是一款简单实用的sql注入软件,这款软件集成了数据库管理、综合上传、sql注入等功能,用户通过该软件可以对网站进行安全检测也可以直接查询内部数据库信息。
2.支持各种语言环境。大多数注入工具在盲注下,无法获取中文等多字节编码字符内容,本工具可完美解决。
3.支持注入数据发包记录。让你了解程序是如何注入,有助于快速学习和找出注入问题。
4.依靠关键字进行盲注,可通过HTTP相应状态码判断,还可以通过关键字取反功能,反过来取关键字。
2、综合上传功能介绍动网论坛上传漏洞功能、动力系统上传漏洞功能、乔客上传漏洞功能以及自定义上传功能!程序中默认防杀asp木马一个,也可自选!
3、SQL注入检测功能介绍可批量对多个网站进行注入点扫描、SQL注入猜解功能(多线程检测,可猜解中文)、自动爆库功能、后台登陆地址扫描(多线程)、检测设置专区!
4、数据库管理功能介绍新建数据库、浏览数据库、新建表及字段、压缩数据库、修改数据库密码、 MD5加密、数据库密码破解、增加及删除记录等功能!
先打开我们的明小子,在当前路径这里输入你要注入的网站地址,然后连接如下图。如果此网站有注入点的话,下面注入点框内会出现红色的注入点地址。
我们任意选中一个地址单击鼠标右键,点击检测注入。
然后点击开始检测按钮后,如下图操作。
最后我们得到网站的账号密码后 就可以去网站后台去登录了哈,提示一下不要对国内的正规网站进行乱搞哦。
二、明小子怎么手工找注入点?
在明小子注入工具中的“批量扫描注入点”功能模块的地址栏里输入并转到google的网址,选择“高级搜索”,在搜索结果栏中选择“100项结果”,语言选择“简体中文”点击搜索后,在注入点一栏中马上就会显示出N多的有注入点的网址。
在第一页中就显示找到了20几个(20%),从头开始试,检测一下,是不是sa权限,若不是可先跳过。因为本文讲的是sa权限,所以在这里我们只找有sa权限注入点的网站,以省去菜鸟们在注入时因一些权限问题而导致入侵卡住的情况。也许有人要问了,有那么多sa权限注入点的网站吗?
根据我的个人经验,只要你的关键字设的好,每100项中就有20几个(约20%)有注入漏洞的网站,在这些网站中又有5个左右(约5%)是有sa权限的。试想想,只要我们的关键字设的好,google可以搜索到的结果何止是100项,一般的搜索结果都在1万项以上,这样算来,我们的目标就有成百上千呀(小菜高呼:哇!发财了!)
就怕你没有那么多的精力去注入全部的网站,呵呵!我马上就找到了一个(运气好呀,可以去买票了,说不定是头奖呢?呵呵,又一个百万富翁!什么?现在百万富翁不算啥?要不,你给我一百万?!)。将这个网址复制到明小子的进行检测,也确实是sa权限,跟阿D注入工具显示的一样。
看来我暂时不要登录的为好。再看看有没有其它可以利用的东西,用阿D注入工具的目录浏览功能看了一下(个人感觉这方面注入工具要比好!明小子怒目圆睁,大叫:你收了多少好处!)忽然眼睛一亮,发现D盘有一个wwwroot目录,并且里面有一个目录和网站名一样。
但在浏览器中输入它的地址却提示没有该文件,而且到了后来,domain的命令行功能反馈回来的信息也变得非常凌乱,不知道是怎么回事。于是想换个cmdshell,又想起它开了23端口,用telnet连接了一下,发现有ntlm认证。
2、改变默认显示页面为本人BLOG
3、修正程序在检测时出错的BUG
4、修正程序在部分系统中无法启动的BUG
5、加了一个功能模块,但还不成熟,隐藏了,高手的话可以用OD调出来!>!<
6、修复前段时间一些朋友反映的错误和程序宏
7、增加四款SKN皮肤!
【基本介绍】
明小子是一款特别适合技术爱好者使用的注入工具,可以在外部直接查询内部sql数据库信息,满足用户对注入的个性化需求。明小子注入工具体积小,绿色免安装,即下即用的方式也是受到了更多用户的青睐,喜欢的朋友赶快下载使用吧。【官方介绍】
明小子注入工具是一款功能强大的SQL注入工具,用户可以通过本工具对网站进行安全检测,也可以对它进行数据库管理,此工具包含了六大功能模块,分别是旁注检测、综合上传、sql注入、数据库管理、破解工具、辅助工具等。明小子除了简单的SQL注入检测和Google页面注入点扫描外,还有多种webshell上传方式(payload上传),非常的不错哦,有需要的赶紧下载吧!【明小子注入原理】
网站的配备内容等,一旦里面的数据被某人获得或者是被修改,那么那个人就可能获得整个网站的控制权。至于怎么获得这些数据,那些MSSQL弱口令的就不说,剩下的最有可能就是利用注入漏洞。当用户在网站外部提交一个参数进入数据库处理,然后把处理后的结果发给用户,这个是动态网页最常见的,但是这个参数一旦没有被过滤,使得我们自己构造的sql语句也可以和参数一起参与数据库操作的,那么SQL注入漏洞就会产生。一个网站上存在外地数据提交是很正常的,一般都是用参数接受(request),然后再进行处理,而涉及于数据库操作的却占了很大的一部分。【明小子特色介绍】
1.支持任意地点出现的任意SQL注入2.支持各种语言环境。大多数注入工具在盲注下,无法获取中文等多字节编码字符内容,本工具可完美解决。
3.支持注入数据发包记录。让你了解程序是如何注入,有助于快速学习和找出注入问题。
4.依靠关键字进行盲注,可通过HTTP相应状态码判断,还可以通过关键字取反功能,反过来取关键字。
【明小子功能介绍】
1、旁注检测功能:虚拟主机域名查询、二级域名查询、整站目录扫描(多线程)、网站批量扫描(多线程) 自动检测网站排名、自动读取\修改Cookies、自动检测注入点!2、综合上传功能介绍动网论坛上传漏洞功能、动力系统上传漏洞功能、乔客上传漏洞功能以及自定义上传功能!程序中默认防杀asp木马一个,也可自选!
3、SQL注入检测功能介绍可批量对多个网站进行注入点扫描、SQL注入猜解功能(多线程检测,可猜解中文)、自动爆库功能、后台登陆地址扫描(多线程)、检测设置专区!
4、数据库管理功能介绍新建数据库、浏览数据库、新建表及字段、压缩数据库、修改数据库密码、 MD5加密、数据库密码破解、增加及删除记录等功能!
【明小子使用方法】
一、明小子注入工具怎么使用?具体操作方法先打开我们的明小子,在当前路径这里输入你要注入的网站地址,然后连接如下图。如果此网站有注入点的话,下面注入点框内会出现红色的注入点地址。
我们任意选中一个地址单击鼠标右键,点击检测注入。
然后点击开始检测按钮后,如下图操作。
最后我们得到网站的账号密码后 就可以去网站后台去登录了哈,提示一下不要对国内的正规网站进行乱搞哦。
二、明小子怎么手工找注入点?
在明小子注入工具中的“批量扫描注入点”功能模块的地址栏里输入并转到google的网址,选择“高级搜索”,在搜索结果栏中选择“100项结果”,语言选择“简体中文”点击搜索后,在注入点一栏中马上就会显示出N多的有注入点的网址。
在第一页中就显示找到了20几个(20%),从头开始试,检测一下,是不是sa权限,若不是可先跳过。因为本文讲的是sa权限,所以在这里我们只找有sa权限注入点的网站,以省去菜鸟们在注入时因一些权限问题而导致入侵卡住的情况。也许有人要问了,有那么多sa权限注入点的网站吗?
根据我的个人经验,只要你的关键字设的好,每100项中就有20几个(约20%)有注入漏洞的网站,在这些网站中又有5个左右(约5%)是有sa权限的。试想想,只要我们的关键字设的好,google可以搜索到的结果何止是100项,一般的搜索结果都在1万项以上,这样算来,我们的目标就有成百上千呀(小菜高呼:哇!发财了!)
就怕你没有那么多的精力去注入全部的网站,呵呵!我马上就找到了一个(运气好呀,可以去买票了,说不定是头奖呢?呵呵,又一个百万富翁!什么?现在百万富翁不算啥?要不,你给我一百万?!)。将这个网址复制到明小子的进行检测,也确实是sa权限,跟阿D注入工具显示的一样。
看来我暂时不要登录的为好。再看看有没有其它可以利用的东西,用阿D注入工具的目录浏览功能看了一下(个人感觉这方面注入工具要比好!明小子怒目圆睁,大叫:你收了多少好处!)忽然眼睛一亮,发现D盘有一个wwwroot目录,并且里面有一个目录和网站名一样。
但在浏览器中输入它的地址却提示没有该文件,而且到了后来,domain的命令行功能反馈回来的信息也变得非常凌乱,不知道是怎么回事。于是想换个cmdshell,又想起它开了23端口,用telnet连接了一下,发现有ntlm认证。
【更新日志】
1、驱除部分死连接,恢复部分官方连接2、改变默认显示页面为本人BLOG
3、修正程序在检测时出错的BUG
4、修正程序在部分系统中无法启动的BUG
5、加了一个功能模块,但还不成熟,隐藏了,高手的话可以用OD调出来!>!<
6、修复前段时间一些朋友反映的错误和程序宏
7、增加四款SKN皮肤!