各類Fuzz字典

fuzzDicts

Web Pentesting Fuzz 字典,一個就夠了。

log

不定期更新，使用前建議git pull一下，同步更新。

20200510:

• 用戶名字典下新增了一個百家姓top3000的拼音，去重后188條，Attack!!!.

20200420:

• 合並一個由lanyi1998提交的pr，測試常用手機號碼top300+，放在用戶名字典里面，瓶頸測試時可以試試；添加一份團隊Child師傅提供的某集團的弱口令字典。

20200410:

• 上傳了centos和aix的/etc/目錄，放在ssrfDict里面，aix和其他系統區別還是蠻大的，實戰一下RFI注意區別。

20200406:

• 合並一個由lewiswu1209提交的pr，密碼top19576。

20200410:

• 新增centOS和AIX主機的/etc/目錄的文件列表，放在ssrfDict目錄，實戰中遇到的，aix和其他系統區別還是蠻大的，作用自己琢磨。

20200318:

帶中文的那個hk字典和這個項目沒有半毛錢關系，已有的字典源自給小伙伴測試博客時得出得結論(密碼和id關聯度很高),所以才基於404notfound師傅的成果分離了一些字段,方便爆破shell之類的,不希望在字典內得可已自己提交pr刪一下。至於怕被查什么的，本身404notfound師傅那邊就有完整的了,這邊不是源頭刪了也沒啥用,再者，已經有公司專門做這樣的事情了(給攻擊者畫像)，保護沒做好只要犯事都跑不掉的...

20200311:

• 黑闊字典原始數據非本人采集，我只是提取了404notfound師傅的成果中的字段，采集本身就不可能全面覆蓋到整個行業所有師傅，如果有想把其他師傅加入名單的師傅可以私聊我或者提交commit啊。[手動狗頭]

20200221:

• 更新由makoto56師傅加強后的webshell密碼字典,離職學習中，畢業前不會有太多的web測試任務（也不想再繼續打web了），字典更新頻率會降低很多，如果有小伙伴想一起維護可以聯系我啊。

20200211:

• 新增一個lot字典，數據來源於tg群里別人發的50w互聯網lot設備弱口令，由sunu11師傅提取，在此基礎上添加了國內的數據。遇到不知名的設備時一陣爆懟咯，擅用字典，事半功倍。

20200115:

• xss字典增加burp官方的210條payload，放在easyXssPayload目錄下的burpXssPayload.txt文件中。

• 用戶名字典增加了2018-2020青年安全圈黑闊們的id，數據來源Security-Data-Analysis-and-Visualization，分離了id,博客域名,github ID三個字段。放在userNameDict目錄下sec_ID.txt,遇到shell先去撞一下,自建waf這些id都標記為黑名單關鍵字就對了。

• 其他優化，更新。

20200106:

• xss字典增加100+條新Payload，並合並到本項目。

20200104:

• 再次優化參數字典，感謝key師傅的修正。

20191219:

• 使用正則(\W)過濾了很多無效的參數,如空格(){}等等,並允許-的存在，重新合並去重了一下參數字典，均放在AllParam.txt，感謝奶權師傅的反饋。

20191214:

• 最近在整理各CMS的漏洞，前前后后下載了50多個CMS,順便重新采集了一下參數，parameter.txt的體積增加到5859條。（原2800+）

20191106:

• 在密碼字典下新增加了華為安全產品默認用戶名密碼速查表.

20191026:

• 使用過程中發現參數字典冗雜了,所以將最近采集的到的以及一些優秀的工具中的字典合並去重復放進了AllParam.txt，共51219條，推薦使用.

20191022:

• 在參數字典下新增了Arjun的一個工具,比原先的腳本要強大得多,字典在db目錄下.

20190928:

• 在passwordDict下新增了從豬豬俠師傅Github復制的wifi密碼top2000字典。

20190819:

• 在directoryDicts下新增了常見漏洞目錄，推薦直接使用all.txt

• 在passwodDict下新增了常見安全設備/路由器/中間件/服務弱口令清單。不過還是推薦使用RW_Password這個強弱口令字典，因為等保的強壓之下很多單位不得不將密碼設置的復雜，為了方便記憶這些密碼又基本都是有規律的，從而誕生了強弱口令，真的很好用啊。

• 其他更新，本次更新部分字典采集自SaiDict,合並的時候仔細去重了。

20190811：

• 上傳了自己平常爆破子域名用的字典(從subDomainsBrute,layer等工具中提取出來合並去重，再和自己生成的部分字典合並)，推薦使用main.txt,另一個比較弟弟。

20190801：

• 合並了一個r35tart師傅整理的很好的“強弱口令”字典（即看起來很復雜，單但實際上很多人在用的密碼）

20190615：

• 合並了一個國外的字典 感覺分類有點亂 考完試再重新整理一下咯。

content

• 參數Fuzz字典
• Xss Fuzz字典
• 用戶名字典
• 密碼字典
• 目錄字典
• sql-fuzz字典
• ssrf-fuzz字典
• XXE字典
• ctf字典
• Api字典
• 路由器后台字典
• 文件后綴Fuzz
• js文件字典
• 子域名字典

工具推薦：burpsuite,sqlmap,xssfork,Wfuzz,webdirscan

如果有什么的好字典或是建議歡迎提交issue給我。

參數Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/paramDict/parameter.txt 

采集自ThinkPHP,yii2,phphub,Zblog,DiscuzX,WordPress等常見PHP框架/CMS。

使用技巧：如http://127.0.0.1/1.php ,視為可疑文件，進行fuzz param 選擇GET,POST AND (POST JSON) AND (GET Route) AND cookie param

Xss Fuzz字典

https://github.com/TheKingOfDuck/easyXssPayload/blob/master/easyXssPayload.txt 

采集自github。

用戶名字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/userNameDict 

密碼字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/passwordDict 

目錄字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/directoryDicts 

SQL Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/sqlDict/sql.txt 

ssrf fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/ssrfDicts 

由\xeb\xfe師傅提供。

XXE字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/XXEDicts 

收集自百度。

ctf字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/ctfDict 

采集自kingkaki，原先收集時百度直接下載的壓縮包，沒看到github鏈接，所以沒標記來源，抱歉抱歉

Api字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/apiDict/api.txt 

鍾馗采集的代碼寫得很cxk 我真弟弟。。。

路由器后台字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/routerDicts/pass.txt 

文件后綴Fuzz

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/uploadFileExtDicts 

采集自https://github.com/c0ny1/upload-fuzz-dic-builder

js文件字典

采集自:https://github.com/7dog7/bottleneckOsmosis

 

 

原文轉載至：https://www.ctolib.com/TheKingOfDuck-fuzzDicts.html