• Stars
    star
    7,379
  • Rank 5,243 (Top 0.2 %)
  • Language
    Python
  • Created over 5 years ago
  • Updated about 1 year ago

Reviews

There are no reviews yet. Be the first to send feedback to the community and the maintainers!

Repository Details

Web Pentesting Fuzz 字典,一个就够了。

fuzzDicts

Web Pentesting Fuzz 字典,一个就够了。

log

不定期更新,使用前建议git pull一下,同步更新。

分享字典建议直接提交PR

20210608:

20201202:

  • 在目录字典下更新了一个Se7en师傅给的admin目录变种。

20200510:

  • 用户名字典下新增了一个百家姓top3000的拼音,去重后188条,Attack!!!.

20200420:

  • 合并一个由lanyi1998提交的pr,测试常用手机号码top300+,放在用户名字典里面,瓶颈测试时可以试试;添加一份团队Child师傅提供的某集团的弱口令字典。

20200410:

  • 新增centOS和AIX主机的/etc/目录的文件列表,放在ssrfDict目录,实战中遇到的,aix和其他系统区别还是蛮大的,作用自己琢磨。

20200406:

  • 合并一个由lewiswu1209提交的pr,密码top19576。

20200221:

  • 更新由makoto56师傅加强后的webshell密码字典,离职学习中,毕业前不会有太多的web测试任务(也不想再继续打web了),字典更新频率会降低很多,如果有小伙伴想一起维护可以联系我啊。

20200211:

  • 新增一个lot字典,数据来源于tg群里别人发的50w互联网lot设备弱口令,由sunu11师傅提取,在此基础上添加了国内的数据。遇到不知名的设备时一阵爆怼咯,擅用字典,事半功倍。

20200115:

  • xss字典增加burp官方的210条payload,放在easyXssPayload目录下的burpXssPayload.txt文件中。

  • 用户名字典增加了2018-2020青年安全圈黑阔们的id,数据来源Security-Data-Analysis-and-Visualization,分离了id,博客域名,github ID三个字段。放在userNameDict目录下sec_ID.txt,遇到shell先去撞一下,自建waf这些id都标记为黑名单关键字就对了。

  • 其他优化,更新。

20200106:

  • xss字典增加100+条新Payload,并合并到本项目。

20200104:

  • 再次优化参数字典,感谢key师傅的修正。

20191219:

  • 使用正则(\W)过滤了很多无效的参数,如空格(){}等等,并允许-的存在,重新合并去重了一下参数字典,均放在AllParam.txt,感谢奶权师傅的反馈。

20191214:

  • 最近在整理各CMS的漏洞,前前后后下载了50多个CMS,顺便重新采集了一下参数,parameter.txt的体积增加到5859条。(原2800+)

20191106:

  • 在密码字典下新增加了华为安全产品默认用户名密码速查表.

20191026:

  • 使用过程中发现参数字典冗杂了,所以将最近采集的到的以及一些优秀的工具中的字典合并去重复放进了AllParam.txt,共51219条,推荐使用.

20191022:

  • 在参数字典下新增了Arjun的一个工具,比原先的脚本要强大得多,字典在db目录下.

20190928:

20190819:

  • 在directoryDicts下新增了常见漏洞目录,推荐直接使用all.txt

  • 在passwodDict下新增了常见安全设备/路由器/中间件/服务弱口令清单。不过还是推荐使用RW_Password这个强弱口令字典,因为等保的强压之下很多单位不得不将密码设置的复杂,为了方便记忆这些密码又基本都是有规律的,从而诞生了强弱口令,真的很好用啊。

  • 其他更新,本次更新部分字典采集自SaiDict,合并的时候仔细去重了。

20190811:

  • 上传了自己平常爆破子域名用的字典(从subDomainsBrute,layer等工具中提取出来合并去重,再和自己生成的部分字典合并),推荐使用main.txt,另一个比较弟弟。

20190801:

  • 合并了一个r35tart师傅整理的很好的“强弱口令”字典(即看起来很复杂,单但实际上很多人在用的密码)

20190615:

  • 合并了一个国外的字典 感觉分类有点乱 考完试再重新整理一下咯。

content

工具推荐:burpsuite,sqlmap,xssfork,Wfuzz,webdirscan

如果有什么的好字典或是建议欢迎提交issue给我。

参数Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/paramDict/parameter.txt

CoolCat

采集自ThinkPHP,yii2,phphub,Zblog,DiscuzX,WordPress等常见PHP框架/CMS。

使用技巧:如http://127.0.0.1/1.php ,视为可疑文件,进行fuzz param 选择GET,POST AND (POST JSON) AND (GET Route) AND cookie param

Xss Fuzz字典

https://github.com/TheKingOfDuck/easyXssPayload/blob/master/easyXssPayload.txt

CoolCat

采集自github

用户名字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/userNameDict

CoolCat

密码字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/passwordDict

CoolCat

目录字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/directoryDicts

CoolCat

SQL Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/sqlDict/sql.txt

CoolCat

ssrf fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/ssrfDicts

CoolCat

\xeb\xfe师傅提供。

XXE字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/XXEDicts

CoolCat

收集自百度。

ctf字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/ctfDict

CoolCat

采集自kingkaki,原先收集时百度直接下载的压缩包,没看到github链接,所以没标记来源,抱歉抱歉

Api字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/apiDict/api.txt

CoolCat

钟馗采集的代码写得很cxk 我真弟弟。。。

路由器后台字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/routerDicts/pass.txt

CoolCat

文件后缀Fuzz

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/uploadFileExtDicts

CoolCat

采集自https://github.com/c0ny1/upload-fuzz-dic-builder

js文件字典

采集自:https://github.com/7dog7/bottleneckOsmosis

More Repositories

1

burpFakeIP

服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件
Java
1,400
star
2

ApkAnalyser

一键提取安卓应用中可能存在的敏感信息。
Shell
951
star
3

easyXssPayload

XssPayload List . Usage:
Python
707
star
4

FileMonitor

文件变化实时监控工具(代码审计/黑盒/白盒审计辅助工具)
Python
697
star
5

MySQLMonitor

MySQL实时监控工具(代码审计/黑盒/白盒审计辅助工具)
Java
453
star
6

Loki

一个轻量级Web蜜罐 - A Little Web Honeypot.🍯🍯🍯🐝🐝🐝
Java
193
star
7

MatryoshkaDollTool

MatryoshkaDollTool-程序加壳/捆绑工具
C#
190
star
8

jsproxy

一个利用浏览器当代理的demo项目,让所有访问者的浏览器成为自己的代理池,所到之处皆为代理节点.
JavaScript
171
star
9

logonTracer

Windows系统安全登录日志分析工具logonTracer汉化修正版
JavaScript
168
star
10

RCEFuzzer

一个以fuzz为中心思想的被动扫描工具
150
star
11

domain_screen

站点批量截图
Python
148
star
12

XSS-Fishing2-CS

鱼儿在cs上线后自动收杆|Automatically stop fishing in javascript after the fish is hooked
PHP
131
star
13

SBCVE

不定期记录一下浪费了时间去关注过的垃圾CVE漏洞。
119
star
14

paramFuzzer

一款高效的参数fuzz工具|A faster param fuzzing test tool
Java
100
star
15

BypassAVAddUsers

绕过杀毒软件添加用户
PHP
95
star
16

evilzip

evilzip lets you create a zip file(with password) that contains files with directory traversal characters in their embedded path.
Java
93
star
17

ReverseGoShell

A Golang Reverse Shell Tool With AES Dynamic Encryption
Go
80
star
18

hashdump

Dumping Windows Local Credentials Tools/Tricks
PowerShell
65
star
19

hostnamePot

通过Web获取访客机器的hostname字段内容。
Java
62
star
20

geacon

修改自geacon的多功能linux运维管理工具
Go
60
star
21

myScripts

一个垃圾桶
PowerShell
60
star
22

Copy2Java

一键生成Java代码的burp插件/Generate Java script for fuzzing in Burp。
Java
50
star
23

JNDI-Injection-Exploit

JNDI注入测试工具改版(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)
Java
46
star
24

burpJsEncrypter

More Easier Burp Extension To Solve Javascript Front End Encryption,一款更易使用的解决前端加密问题的Burp插件。
Java
45
star
25

dnscat2

去除了流量特征的UDP协议跨平台机器管理工具
C++
36
star
26

Loki-bot

多功能Windows机器运维管理工具
C
33
star
27

FileDownloadServer

一个可以查看文件传输进度的Web项目
Java
18
star
28

JoomlaCracker

Joomla 批量爆破工具
Java
14
star
29

TheKingOfDuck

TheKingOfDuck
8
star
30

thekingofduck.github.io

myBlog
HTML
2
star