明小子3.5免殺版 v10.20.10 無限制極速加強(qiáng)版
- 軟件大?。?/em>2.59MB
- 更新日期:2021-07-28
- 語言:簡體中文
- 類別:網(wǎng)絡(luò)工具
- 適用環(huán)境:WinAll
- 安全檢測: 無插件 360通過 騰訊通過 金山通過 瑞星通過
-
- 本地下載
普通http下載速度慢
軟件介紹
明小子注入工具是一款擁有多種功能的sql注入軟件,我們不僅可以通過這款軟件來對網(wǎng)站的安全系數(shù)進(jìn)行測試,并且還可以快速獲取到網(wǎng)站內(nèi)部的數(shù)據(jù)庫信息。通過明小子sql注入工具,你可以更好地管理網(wǎng)站的數(shù)據(jù)庫,實(shí)現(xiàn)網(wǎng)站數(shù)據(jù)的快速上傳。
明小子注入工具軟件簡介
所謂的SQL(結(jié)構(gòu)化查詢語言)注入,簡單來說就是利用SQL語句在外部對SQL數(shù)據(jù)庫進(jìn)行查詢,更新等動作。首先,數(shù)據(jù)庫作為一個網(wǎng)站最重要的組件之一(如果這個網(wǎng)站有數(shù)據(jù)庫的話),里面是儲存著各種各樣的內(nèi)容,包括管理員的賬號密碼,腳本注入攻擊者把SQL命令插入到WEB表單的輸入域或頁面請求的查詢字符串,欺騙服務(wù)器執(zhí)行惡意的SQL命令,在某些表單中,用戶輸入的內(nèi)容直接用來構(gòu)造動態(tài)的SQL命令,或作為存儲過程的輸入?yún)?shù),從而獲取想得到的密碼或其它服務(wù)器上的資料。
明小子注入工具軟件功能
1、旁注檢測功能:虛擬主機(jī)域名查詢、二級域名查詢、整站目錄掃描(多線程)、網(wǎng)站批量掃描(多線程) 自動檢測網(wǎng)站排名、自動讀取\修改Cookies、自動檢測注入點(diǎn)!
2、綜合上傳功能介紹動網(wǎng)論壇上傳漏洞功能、動力系統(tǒng)上傳漏洞功能、喬客上傳漏洞功能以及自定義上傳功能!程序中默認(rèn)防殺asp木馬一個,也可自選!
3、SQL注入檢測功能介紹可批量對多個網(wǎng)站進(jìn)行注入點(diǎn)掃描、SQL注入猜解功能(多線程檢測,可猜解中文)、自動爆庫功能、后臺登陸地址掃描(多線程)、檢測設(shè)置專區(qū)!
4、數(shù)據(jù)庫管理功能介紹新建數(shù)據(jù)庫、瀏覽數(shù)據(jù)庫、新建表及字段、壓縮數(shù)據(jù)庫、修改數(shù)據(jù)庫密碼、 MD5加密、數(shù)據(jù)庫密碼破解、增加及刪除記錄等功能!
軟件特色
1.支持任意地點(diǎn)出現(xiàn)的任意SQL注入
2.支持各種語言環(huán)境。大多數(shù)注入工具在盲注下,無法獲取中文等多字節(jié)編碼字符內(nèi)容,本工具可完美解決。
3.支持注入數(shù)據(jù)發(fā)包記錄。讓你了解程序是如何注入,有助于快速學(xué)習(xí)和找出注入問題。
4.依靠關(guān)鍵字進(jìn)行盲注,可通過HTTP相應(yīng)狀態(tài)碼判斷,還可以通過關(guān)鍵字取反功能,反過來取關(guān)鍵字。
注入原理
網(wǎng)站的配備內(nèi)容等,一旦里面的數(shù)據(jù)被某人獲得或者是被修改,那么那個人就可能獲得整個網(wǎng)站的控制權(quán)。至于怎么獲得這些數(shù)據(jù),那些MSSQL弱口令的就不說,剩下的最有可能就是利用注入漏洞。
當(dāng)用戶在網(wǎng)站外部提交一個參數(shù)進(jìn)入數(shù)據(jù)庫處理,然后把處理后的結(jié)果發(fā)給用戶,這個是動態(tài)網(wǎng)頁最常見的,但是這個參數(shù)一旦沒有被過濾,使得我們自己構(gòu)造的sql語句也可以和參數(shù)一起參與數(shù)據(jù)庫操作的,那么SQL注入漏洞就會產(chǎn)生
一個網(wǎng)站上存在外地?cái)?shù)據(jù)提交是很正常的,一般都是用參數(shù)接受(request),然后再進(jìn)行處理,而涉及于數(shù)據(jù)庫操作的卻占了很大的一部分。
明小子注入工具使用技巧
一、明小子注入工具怎么使用?
先打開我們的明小子,在當(dāng)前路徑這里輸入你要注入的網(wǎng)站地址,然后連接如下圖。如果此網(wǎng)站有注入點(diǎn)的話,下面注入點(diǎn)框內(nèi)會出現(xiàn)紅色的注入點(diǎn)地址。
我們?nèi)我膺x中一個地址單擊鼠標(biāo)右鍵,點(diǎn)擊檢測注入。
然后點(diǎn)擊開始檢測按鈕后,如下圖操作。
最后我們得到網(wǎng)站的賬號密碼后 就可以去網(wǎng)站后臺去登錄了哈,提示一下不要對國內(nèi)的正規(guī)網(wǎng)站進(jìn)行亂搞哦。
二、明小子怎么手工找注入點(diǎn)?
在明小子注入工具中的“批量掃描注入點(diǎn)”功能模塊的地址欄里輸入并轉(zhuǎn)到google的網(wǎng)址,選擇“高級搜索”,在搜索結(jié)果欄中選擇“100項(xiàng)結(jié)果”,語言選擇“簡體中文”點(diǎn)擊搜索后,在注入點(diǎn)一欄中馬上就會顯示出N多的有注入點(diǎn)的網(wǎng)址。
在第一頁中就顯示找到了20幾個(20%),從頭開始試,檢測一下,是不是sa權(quán)限,若不是可先跳過。因?yàn)楸疚闹v的是sa權(quán)限,所以在這里我們只找有sa權(quán)限注入點(diǎn)的網(wǎng)站,以省去菜鳥們在注入時因一些權(quán)限問題而導(dǎo)致入侵卡住的情況。也許有人要問了,有那么多sa權(quán)限注入點(diǎn)的網(wǎng)站嗎?
根據(jù)我的個人經(jīng)驗(yàn),只要你的關(guān)鍵字設(shè)的好,每100項(xiàng)中就有20幾個(約20%)有注入漏洞的網(wǎng)站,在這些網(wǎng)站中又有5個左右(約5%)是有sa權(quán)限的。試想想,只要我們的關(guān)鍵字設(shè)的好,google可以搜索到的結(jié)果何止是100項(xiàng),一般的搜索結(jié)果都在1萬項(xiàng)以上,這樣算來,我們的目標(biāo)就有成百上千呀(小菜高呼:哇!發(fā)財(cái)了!)
就怕你沒有那么多的精力去注入全部的網(wǎng)站,呵呵!我馬上就找到了一個(運(yùn)氣好呀,可以去買票了,說不定是頭獎呢?呵呵,又一個百萬富翁!什么?現(xiàn)在百萬富翁不算啥?要不,你給我一百萬?!)。將這個網(wǎng)址復(fù)制到明小子的進(jìn)行檢測,也確實(shí)是sa權(quán)限,跟阿D注入工具顯示的一樣。
看來我暫時不要登錄的為好。再看看有沒有其它可以利用的東西,用阿D注入工具的目錄瀏覽功能看了一下(個人感覺這方面注入工具要比好!明小子怒目圓睜,大叫:你收了多少好處!)忽然眼睛一亮,發(fā)現(xiàn)D盤有一個wwwRoot目錄,并且里面有一個目錄和網(wǎng)站名一樣。
但在瀏覽器中輸入它的地址卻提示沒有該文件,而且到了后來,domain的命令行功能反饋回來的信息也變得非常凌亂,不知道是怎么回事。于是想換個cmdshell,又想起它開了23端口,用telnet連接了一下,發(fā)現(xiàn)有ntlm認(rèn)證。
更新日志
1.驅(qū)除部分死連接,恢復(fù)部分官方連接
2.改變默認(rèn)顯示頁面為本人BLOG
3.修正程序在檢測時出錯的BUG
4.修正程序在部分系統(tǒng)中無法啟動的BUG
5.加了一個功能模塊,但還不成熟,隱藏了,高手的話可以用OD調(diào)出來!>!<
6.修復(fù)前段時間一些朋友反映的錯誤和程序宏
7.增加四款SKN皮膚!
- 精選留言 來自四川廣元聯(lián)通用戶 發(fā)表于: 2023-5-3
- 多謝分享,辛苦了
- 精選留言 來自河北唐山移動用戶 發(fā)表于: 2023-5-19
- 終于出了,期待很久了
- 精選留言 來自湖北襄樊電信用戶 發(fā)表于: 2023-12-15
- 基本沒有大問題,上手很方便
- 精選留言 來自河南三門峽電信用戶 發(fā)表于: 2023-6-7
- 越更新越好用了,之前有些功能我都找不到,太令我驚喜了
- 精選留言 來自福建莆田電信用戶 發(fā)表于: 2023-3-5
- 好東西,你值得擁有。