Dictionary-Of-Pentesting
简介
收集一些常用的字典,用于渗透测试、SRC漏洞挖掘、爆破、Fuzzing等实战中。
收集以实用为原则。目前主要分类有认证类、文件路径类、端口类、域名类、无线类、正则类。
涉及的内容包含设备默认密码、文件路径、通用默认密码、HTTP参数、HTTP请求头、正则、应用服务默认密码、子域名、用户名、系统密码、Wifi密码等。
该项目计划持续收集。
更新记录
2022.12.07
- 增加trickest/wordlists字典,主要包括robots.txt 文件中的disallow的路径汇总和168的子域名字典。
2022.07.16
- k8s 路径
- phpunit路径
- properties 文件路径字典
- yaml文件名字典
- 用户名字段名称字典
2022.05.08
- 增加 keys/secret 正则表达式
- 增加Dom XSS sink
2021.12.14
- 增加EyeWitness的识别规则
2021.10.04
- 增加Burp的Software Version Checks的识别规则
- 增加Client-Side Prototype Pollution的规则(基于Burp的Software Version Checks插件)
2021.09.22
- 增加MQTT 爆破用的用户名和密码。
2021.08.01
- 增加100余条CND列表
- 系统命令执行Fuzzing payload
2021.07.30
- 增加19个cdn服务列表。 感谢@leveryd 提供
2021.07.26
- 增加一个子域名爆破字典
2021.06.23
- 一些开源Web应用的ViewState默认key。
- upload 一些上传文件的参数名
2021.06.18
- 增加Bug-Bounty-Wordlists
2021.06.06
- 增加SuperWordlist的用户名和密码字典。包括Tomcat、PMA、DEV等密码字典,还有CN、EN邮箱用户名、TOP20管理用户名。
- 200万子域名字典
2021.06.02
- 增加43个云waf或cdn列表
2021.05.28
- 增加wappalyzer的指纹规则
2021.04.28
- XXE payloads for specific DTDs
2021.04.26
- 增加云厂商的metadata有用的一些地址。(包含AWS、Google Cloud、Digital Ocean 、Packetcloud、Azure、Oracle Cloud 、Alibaba、OpenStack/RackSpace 、Oracle Cloud、Kubernetes)
2021.02.19
- 增加aem路径列表
2021.02.07
- 增加top25 漏洞参数(SQLI/XSS/RCE/OPENREDIRECT/LFI/SSRF)
2021.02.04
- 增加all.txt 字典。
2021.02.03
- 增加amass的子域名字典。
2021.01.31
- 增加AllAboutBugBounty项目的文档
2021.01.27
- 增加几个可能导致RCE的端口
2021.01.24
- 增加两个github dork
2021.01.16
-
增加cve的一些路径
-
一些已知错误配置的路径
-
一些API端点或服务器信息的特殊路径
-
以上3种的合集(去重后)
2021.01.13
-
增加callback参数字典
-
增加常见报错信息字符串列表
-
增加debug参数字典
-
增加snmp密码字典
-
增加weblogic常见用户名密码
-
增加oracle用户名、密码字典
2021.01.04
- 增加DefaultCreds-cheat-sheet
2021.01.03
-
增加crackstation下载地址(由于字典太大,给出下载链接)。
-
增加rockyou字典。
-
增加cain字典。
2021.01.02
-
增加webshell密码字典
-
增加7w和81万请求参数字典
-
增加Lcoalhost地址字典
-
HTML标签列表
2020.12.31
- 增加域账户弱密码字典(7000+)
2020.12.30
- 增加ntlm验证的路径
2020.12.15
- 增加github dork的搜索脚本。
2020.12.09
- 增加CEH web services的用户名和密码字典。
2020.12.07
- 增加oracle路径列表
2020.11.23
-
增加ctf字典。
-
增加摄像rtsp默认路径和默认用户名和密码
2020.11.14
-
增加1个ics 默认密码字典
-
增加1个设备默认密码字典(3400余条)
2020.11.04
- 增加 Wordpress BruteForc List
2020.11.03
- 增加几个默认口令
2020.10.15
- 增加一些payload
2020.09.30
- 增加常见可以RCE的端口
2020.09.29
-
bugbounty oneliner rce
-
一些默认路径
-
top 100k 密码字典
-
top 5k 用户名字典
-
一些代码审计正则表达式
2020.09.27
- 增加cms识别指纹规则集,包含 fofa/Wappalyzer/WEBEYE/web中间件/开发语言 等众多指纹库内容
2020.09.22
- 修改swagger字典,添加5条路径
2020.09.21
-
增加3种类型密码字典,拼音、纯数字、键盘密码字典
-
增加scada 默认密码,硬编码等列表
2020.09.18
- 增加11k+用户名密码组合
2020.09.17
-
增加action后缀 top 100
-
javascript 中on事件列表
-
URL 16进制fuzz
2020.09.15
-
增加XXE bruteforce wordlist
-
增加sql备份文件名字典
-
删除重复的spring boot内容
2020.09.10
-
增加自己收集的webservices内容。包含webservices目录,文件名,拓展名。后续计划增加存在漏洞webservices路径内容
-
readme中增加更新历史
2020.09.09
-
增加weblogic路径
-
增加swagger路径
-
增加graphql路径
-
增加spring-boot路径
-
去掉device/default_password_list.txt文件中的空行
2020.09.08
- 更新jsFileDict.txt字典,增加4个js文件名
2020.09.07
-
添加绕过ip限制的http请求投
-
修改readme.md
2020.08.29
-
增加常见设备、安全产品默认口令
-
增加一行命令的BugBounty tips
-
增加两处参数字典
-
增加bruteforce-lists的字典
-
Readme 文件增加来源。逐渐完善。
2020.08.28
-
增加api路径
-
增加js文件路径
-
增加http请求参数
-
增加http请求参数值
2020.08.27
-
删除一些多余文件
-
精简Files下的dict的层级
-
增加DirBuster字典
-
增加spring boot actuator字典
2020.08.26
首次提交
来源&致谢
该项目内容均来源于网络或自己整理,感谢各位大佬们的共享精神和辛苦付出~
-
https://gist.github.com/honoki/d7035c3ccca1698ec7b541c77b9410cf
-
https://twitter.com/DanielAzulay18/status/1304751830539395072
-
[https://github.com/al0ne/Vxscan][https://github.com/al0ne/Vxscan]
-
https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm
-
https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056
-
https://raw.githubusercontent.com/GoSecure/dtd-finder/master/list/xxe_payloads.md
-
https://raw.githubusercontent.com/AliasIO/wappalyzer/master/src/technologies.json
-
https://github.com/0x727/ShuiZe_0x727/blob/master/Plugins/infoGather/subdomain/CDN/cdn-domain.conf
-
https://github.com/augustd/burp-suite-software-version-checks
-
https://gist.github.com/h4x0r-dz/be69c7533075ab0d3f0c9b97f7c93a59