明小子3.5免杀版

软件介绍

明小子注入工具是一款多功能sql注入软件。我们不仅可以通过这个软件测试网站的安全系数，还可以快速获取网站内部的数据库信息。通过明小资的sql注入工具，可以更好的管理网站的数据库，实现网站数据的快速上传。

明小子注入工具软件简介

所谓SQL(结构化查询语言)注入，简单来说就是利用SQL语句对外查询和更新SQL数据库。首先，作为网站最重要的组成部分之一(如果网站有数据库的话)，数据库存储着各种内容，包括管理员的账号密码，脚本将攻击者注入到web表单的输入字段或者页面请求的查询字符串中，诱骗服务器执行恶意的SQL命令。在某些形式下，用户输入的内容被直接用来构造动态SQL命令或作为存储过程的输入参数，从而在其他服务器上获得想要的密码或信息。

明小子注入工具软件功能

1.边缘笔记检测功能：虚拟主机域名查询、二级域名查询、全站点目录扫描(多线程)、网站批量扫描(多线程)自动检测网站排名、自动读取\修改Cookies、自动检测注入点！

2.综合上传功能介绍动态网论坛上传漏洞功能，动力系统上传漏洞功能，乔上传漏洞功能和自定义上传功能！程序里默认有一个asp木马，也可以选择！

3.SQL注入检测功能介绍：可以批量扫描多个网站的注入点，猜测SQL注入的解决方案(多线程检测可以猜测中文)，自动爆炸数据库，扫描后台登录地址(多线程)，检测设置专区！

4.数据库管理功能介绍了新建数据库、浏览数据库、新建表和字段、压缩数据库、修改数据库密码、MD5加密、破解数据库密码、添加和删除记录等功能！

软件特色

1.支持任何地方的任何SQL注入。

2.支持各种语言环境。大部分注入工具无法获取盲注下的中文等多字节编码字符，这个工具可以完美解决。

3.支持数据契约记录的注入。让你知道程序是如何注入的，有助于你快速学习，发现注入问题。

4.盲注依赖于关键字，可以通过HTTP对应的状态码来判断，利用关键字倒排功能依次检索关键字。

注入原理

一旦网站中的数据被某人获取或修改，此人就可能获得整个网站的控制权。至于如何获取这些数据，MSSQL弱密码的就不说了，剩下的极有可能是利用注入漏洞。

当用户在网站外部提交一个参数，进入数据库进行处理，然后将处理后的结果发送给用户，这就是最常见的动态网页。但是，一旦这个参数没有被过滤掉，我们自己构造的sql语句也可以和这个参数一起参与数据库操作，那么就会出现SQL注入漏洞。

一个网站提交国外数据很正常。一般参数是用来接受(请求)再处理的，而数据库操作占了很大一部分。

明小子注入工具使用技巧

一、明小子注入工具怎么使用？

先打开我们的男孩，在当前路径这里输入你要注入的网址，然后连接到下图。如果此网站有注入点，红色的注入点地址会出现在下面的注入点框中。

我们随机选择一个地址，单击鼠标右键，然后单击检测注射。

然后点击开始检测按钮，如下所示。

最后，我们拿到网站的账号密码后，就可以去网站后台登录了。国内正规网站请不要乱来。

二、明小子怎么手工找注入点？

在明小资注射工具中的“批量扫描注射点”功能模块的地址栏中输入，进入google的网站，选择“高级搜索”，在搜索结果栏中选择“100个结果”，点击以“简体中文”为语言的搜索，立即会在注射点栏中显示n个以上有注射点的网站。

在第一页上，它显示已经找到了20多个(20%)。从头试一遍，检查是否是sa权限。如果没有，可以先跳过。因为这篇文章讲的是sa权限，所以我们在这里只寻找有sa权限注入点的网站，避免新手在注入时因为一些权限问题而卡在入侵中的情况。也许有人会问，这么多网站都有sa权限注入点吗？

根据我个人的经验，只要你的关键词设置得好，每100个条目中就有20多个(20%左右)有漏洞的网站，这些网站中大概有5个(5%左右)有sa权限。试想一下，只要我们的关键词设置好了，google就能得到100多个搜索结果，一般的搜索结果都在1万以上，那么我们的目标就是几十万(小菜喊：哇！发财了！)

恐怕你没有那么多精力去注入所有的网站，呵呵！马上找了一个(运气好，能买到票，可能是一等奖？呵呵，又一个百万富翁！什么？百万富翁现在什么都不是。为什么不给我100万？)。把这个网址复制到明小子的进行测试，确实是sa权限，就像A D注入工具显示的那样。

看来我还是暂时不登录的好。看看有没有别的可以用的，用个D注入工具的目录浏览功能看看(个人觉得注入工具在这方面更好！明仔怒目而视，吼道，你收了多少好处！突然我眼睛一亮，发现D盘上有一个wwwroot目录，里面有一个和网站同名的目录。

但是在浏览器中输入它的地址，提示没有这个文件，后来domain的命令行功能反馈回来的信息就变得很乱，不知道是怎么回事。于是想换个cmdshell，想起它打开了23端口，用telnet连接，发现它有ntlm认证。

更新日志

1.赶走一些死连接，恢复一些官方连接。

2.将默认显示页面更改为我的博客。

3.修正了程序在检测过程中出错的错误。

4.修复一些系统无法启动的bug。

5.增加了一个功能模块，但是还不成熟，很隐蔽。如果你是高手，可以用OD调出来！

6.修复前段时间一些朋友反映的错误和程序宏。

7.添加四个SKN皮肤！