明小子全稱為明小子sql注入工具，是一款簡單實用的sql注入軟件，這款軟件集成了數(shù)據(jù)庫管理、綜合上傳、sql注入等功能，用戶通過該軟件可以對網(wǎng)站進(jìn)行安全檢測也可以直接查詢內(nèi)部數(shù)據(jù)庫信息。

【基本介紹】

明小子是一款特別適合技術(shù)愛好者使用的注入工具，可以在外部直接查詢內(nèi)部sql數(shù)據(jù)庫信息，滿足用戶對注入的個性化需求。明小子注入工具體積小，綠色免安裝，即下即用的方式也是受到了更多用戶的青睞，喜歡的朋友趕快下載使用吧。

【官方介紹】

明小子注入工具是一款功能強(qiáng)大的SQL注入工具，用戶可以通過本工具對網(wǎng)站進(jìn)行安全檢測，也可以對它進(jìn)行數(shù)據(jù)庫管理，此工具包含了六大功能模塊，分別是旁注檢測、綜合上傳、sql注入、數(shù)據(jù)庫管理、破解工具、輔助工具等。明小子除了簡單的SQL注入檢測和Google頁面注入點掃描外，還有多種webshell上傳方式(payload上傳)，非常的不錯哦，有需要的趕緊下載吧！

【明小子注入原理】

網(wǎng)站的配備內(nèi)容等，一旦里面的數(shù)據(jù)被某人獲得或者是被修改，那么那個人就可能獲得整個網(wǎng)站的控制權(quán)。至于怎么獲得這些數(shù)據(jù)，那些MSSQL弱口令的就不說，剩下的最有可能就是利用注入漏洞。當(dāng)用戶在網(wǎng)站外部提交一個參數(shù)進(jìn)入數(shù)據(jù)庫處理，然后把處理后的結(jié)果發(fā)給用戶，這個是動態(tài)網(wǎng)頁最常見的，但是這個參數(shù)一旦沒有被過濾，使得我們自己構(gòu)造的sql語句也可以和參數(shù)一起參與數(shù)據(jù)庫操作的，那么SQL注入漏洞就會產(chǎn)生。一個網(wǎng)站上存在外地數(shù)據(jù)提交是很正常的，一般都是用參數(shù)接受(request)，然后再進(jìn)行處理，而涉及于數(shù)據(jù)庫操作的卻占了很大的一部分。

【明小子特色介紹】

1.支持任意地點出現(xiàn)的任意SQL注入
2.支持各種語言環(huán)境。大多數(shù)注入工具在盲注下，無法獲取中文等多字節(jié)編碼字符內(nèi)容，本工具可完美解決。
3.支持注入數(shù)據(jù)發(fā)包記錄。讓你了解程序是如何注入，有助于快速學(xué)習(xí)和找出注入問題。
4.依靠關(guān)鍵字進(jìn)行盲注，可通過HTTP相應(yīng)狀態(tài)碼判斷，還可以通過關(guān)鍵字取反功能，反過來取關(guān)鍵字。

【明小子功能介紹】

1、旁注檢測功能：虛擬主機(jī)域名查詢、二級域名查詢、整站目錄掃描(多線程)、網(wǎng)站批量掃描(多線程) 自動檢測網(wǎng)站排名、自動讀取\修改Cookies、自動檢測注入點！
2、綜合上傳功能介紹動網(wǎng)論壇上傳漏洞功能、動力系統(tǒng)上傳漏洞功能、喬客上傳漏洞功能以及自定義上傳功能！程序中默認(rèn)防殺asp木馬一個，也可自選！
3、SQL注入檢測功能介紹可批量對多個網(wǎng)站進(jìn)行注入點掃描、SQL注入猜解功能(多線程檢測,可猜解中文)、自動爆庫功能、后臺登陸地址掃描(多線程)、檢測設(shè)置專區(qū)！
4、數(shù)據(jù)庫管理功能介紹新建數(shù)據(jù)庫、瀏覽數(shù)據(jù)庫、新建表及字段、壓縮數(shù)據(jù)庫、修改數(shù)據(jù)庫密碼、 MD5加密、數(shù)據(jù)庫密碼破解、增加及刪除記錄等功能！

【明小子使用方法】

一、明小子注入工具怎么使用？具體操作方法

先打開我們的明小子，在當(dāng)前路徑這里輸入你要注入的網(wǎng)站地址，然后連接如下圖。如果此網(wǎng)站有注入點的話，下面注入點框內(nèi)會出現(xiàn)紅色的注入點地址。


我們?nèi)我膺x中一個地址單擊鼠標(biāo)右鍵，點擊檢測注入。


然后點擊開始檢測按鈕后，如下圖操作。


最后我們得到網(wǎng)站的賬號密碼后 就可以去網(wǎng)站后臺去登錄了哈，提示一下不要對國內(nèi)的正規(guī)網(wǎng)站進(jìn)行亂搞哦。

二、明小子怎么手工找注入點？

在明小子注入工具中的“批量掃描注入點”功能模塊的地址欄里輸入并轉(zhuǎn)到google的網(wǎng)址，選擇“高級搜索”，在搜索結(jié)果欄中選擇“100項結(jié)果”，語言選擇“簡體中文”點擊搜索后，在注入點一欄中馬上就會顯示出N多的有注入點的網(wǎng)址。


在第一頁中就顯示找到了20幾個(20%)，從頭開始試，檢測一下，是不是sa權(quán)限，若不是可先跳過。因為本文講的是sa權(quán)限，所以在這里我們只找有sa權(quán)限注入點的網(wǎng)站，以省去菜鳥們在注入時因一些權(quán)限問題而導(dǎo)致入侵卡住的情況。也許有人要問了，有那么多sa權(quán)限注入點的網(wǎng)站嗎?


根據(jù)我的個人經(jīng)驗，只要你的關(guān)鍵字設(shè)的好，每100項中就有20幾個(約20%)有注入漏洞的網(wǎng)站，在這些網(wǎng)站中又有5個左右(約5%)是有sa權(quán)限的。試想想，只要我們的關(guān)鍵字設(shè)的好，google可以搜索到的結(jié)果何止是100項，一般的搜索結(jié)果都在1萬項以上，這樣算來，我們的目標(biāo)就有成百上千呀(小菜高呼:哇!發(fā)財了!)


就怕你沒有那么多的精力去注入全部的網(wǎng)站，呵呵!我馬上就找到了一個(運氣好呀，可以去買票了，說不定是頭獎呢?呵呵，又一個百萬富翁!什么?現(xiàn)在百萬富翁不算啥?要不，你給我一百萬?!)。將這個網(wǎng)址復(fù)制到明小子的進(jìn)行檢測，也確實是sa權(quán)限，跟阿D注入工具顯示的一樣。


看來我暫時不要登錄的為好。再看看有沒有其它可以利用的東西，用阿D注入工具的目錄瀏覽功能看了一下(個人感覺這方面注入工具要比好!明小子怒目圓睜，大叫:你收了多少好處!)忽然眼睛一亮，發(fā)現(xiàn)D盤有一個wwwroot目錄，并且里面有一個目錄和網(wǎng)站名一樣。


但在瀏覽器中輸入它的地址卻提示沒有該文件，而且到了后來，domain的命令行功能反饋回來的信息也變得非常凌亂，不知道是怎么回事。于是想換個cmdshell，又想起它開了23端口，用telnet連接了一下，發(fā)現(xiàn)有ntlm認(rèn)證。

【更新日志】

1、驅(qū)除部分死連接，恢復(fù)部分官方連接
2、改變默認(rèn)顯示頁面為本人BLOG
3、修正程序在檢測時出錯的BUG
4、修正程序在部分系統(tǒng)中無法啟動的BUG
5、加了一個功能模塊，但還不成熟，隱藏了，高手的話可以用OD調(diào)出來!>!<
6、修復(fù)前段時間一些朋友反映的錯誤和程序宏
7、增加四款SKN皮膚！