# fuzzDicts
Web Pentesting Fuzz 字典,一个就够了。
## log
不定期更新,使用前建议git pull一下,同步更新。
**分享字典建议直接提交PR**
20210608:
* 在rcePayloads字典下添加了一个[Remote Code Execution ( Unix and Windows )](https://ansar0047.medium.com/remote-code-execution-unix-and-windows-4ed3367158b3)中提到的所有Payload。
20201202:
* 在目录字典下更新了一个[Se7en](https://github.com/r00tSe7en)师傅给的admin目录变种。
20200510:
* 用户名字典下新增了一个百家姓top3000的拼音,去重后188条,Attack!!!.
20200420:
* 合并一个由[lanyi1998](https://github.com/lanyi1998)提交的pr,测试常用手机号码top300+,放在用户名字典里面,瓶颈测试时可以试试;添加一份团队Child师傅提供的某集团的弱口令字典。
20200410:
* 新增centOS和AIX主机的/etc/目录的文件列表,放在ssrfDict目录,实战中遇到的,aix和其他系统区别还是蛮大的,作用自己琢磨。
20200406:
* 合并一个由[lewiswu1209](https://github.com/lewiswu1209)提交的pr,密码top19576。
20200221:
* 更新由[makoto56](https://github.com/makoto56)师傅加强后的webshell密码字典,离职学习中,毕业前不会有太多的web测试任务(也不想再继续打web了),字典更新频率会降低很多,如果有小伙伴想一起维护可以联系我啊。
20200211:
* 新增一个lot字典,数据来源于tg群里别人发的50w互联网lot设备弱口令,由[sunu11](https://github.com/sunu11)师傅提取,在此基础上添加了国内的数据。遇到不知名的设备时一阵爆怼咯,擅用字典,事半功倍。
20200115:
* xss字典增加burp官方的210条payload,放在easyXssPayload目录下的[burpXssPayload.txt](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/easyXssPayload/burpXssPayload.txt)文件中。
* 用户名字典增加了2018-2020青年安全圈黑阔们的id,数据来源[Security-Data-Analysis-and-Visualization](https://github.com/404notf0und/Security-Data-Analysis-and-Visualization),分离了id,博客域名,github ID三个字段。放在userNameDict目录下[sec_ID.txt](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/userNameDict/sec_id.txt),遇到shell先去撞一下,自建waf这些id都标记为黑名单关键字就对了。
* 其他优化,更新。
20200106:
* xss字典增加100+条新Payload,并合并到本项目。
20200104:
* 再次优化参数字典,感谢[key师傅](https://github.com/gh0stkey)的修正。
20191219:
* 使用正则`(\W)`过滤了很多无效的参数,如空格(){}等等,并允许-的存在,重新合并去重了一下参数字典,均放在AllParam.txt,感谢奶权师傅的反馈。
20191214:
* 最近在整理各CMS的漏洞,前前后后下载了50多个CMS,顺便重新采集了一下参数,parameter.txt的体积增加到5859条。(原2800+)
20191106:
* 在密码字典下新增加了华为安全产品默认用户名密码速查表.
20191026:
* 使用过程中发现参数字典冗杂了,所以将最近采集的到的以及一些优秀的工具中的字典合并去重复放进了AllParam.txt,共51219条,推荐使用.
20191022:
* 在参数字典下新增了[Arjun](https://github.com/s0md3v/Arjun)的一个工具,比原先的脚本要强大得多,字典在db目录下.
20190928:
* 在passwordDict下新增了从[猪猪侠师傅Github](https://github.com/ring04h)复制的wifi密码top2000字典。
20190819:
* 在directoryDicts下新增了常见漏洞目录,推荐直接使用all.txt
* 在passwodDict下新增了常见安全设备/路由器/中间件/服务弱口令清单。不过还是推荐使用RW_Password这个强弱口令字典,因为等保的强压之下很多单位不得不将密码设置的复杂,为了方便记忆这些密码又基本都是有规律的,从而诞生了强弱口令,真的很好用啊。
* 其他更新,本次更新部分字典采集自[SaiDict](https://github.com/Stardustsky/SaiDict),合并的时候仔细去重了。
20190811:
* 上传了自己平常爆破子域名用的字典(从subDomainsBrute,layer等工具中提取出来合并去重,再和自己生成的部分字典合并),推荐使用main.txt,另一个比较弟弟。
20190801:
* 合并了一个[r35tart](https://github.com/r35tart/RW_Password)师傅整理的很好的“强弱口令”字典(即看起来很复杂,单但实际上很多人在用的密码)
20190615:
* 合并了一个[国外的字典](https://github.com/emadshanab/WordLists-20111129) 感觉分类有点乱 考完试再重新整理一下咯。
## content
* [参数Fuzz字典](#参数fuzz字典)
* [Xss Fuzz字典](#xss-fuzz字典)
* [用户名字典](#用户名字典)
* [密码字典](#密码字典)
* [目录字典](#目录字典)
* [sql-fuzz字典](#sql-fuzz字典)
* [ssrf-fuzz字典](#ssrf-fuzz字典)
* [XXE字典](#XXE字典)
* [ctf字典](#ctf字典)
* [Api字典](#Api字典)
* [路由器后台字典](#路由器后台字典)
* [文件后缀Fuzz](#文件后缀Fuzz)
* [js文件字典](#js文件字典)
* [子域名字典](https://github.com/TheKingOfDuck/fuzzDicts/tree/master/subdomainDicts)
工具推荐:[burpsuite](https://portswigger.net/burp/),[sqlmap](https://github.com/sqlmapproject/sqlmap),[xssfork](https://github.com/bsmali4/xssfork),[Wfuzz](https://github.com/xmendez/wfuzz/),[webdirscan](https://github.com/TuuuNya/webdirscan)
如果有什么的好字典或是建议欢迎提交issue给我。
## [参数Fuzz字典](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/paramDict)
```
https://github.com/TheKingOfDuck/fuzzDicts/blob/master/paramDict/parameter.txt
```
![CoolCat](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/images/parameter.jpg)
采集自`ThinkPHP`,`yii2`,`phphub`,`Zblog`,`DiscuzX`,`WordPress`等常见PHP框架/CMS。
使用技巧:如http://127.0.0.1/1.php ,视为可疑文件,进行fuzz param 选择GET,POST AND (POST JSON) AND (GET Route) AND cookie param
## [Xss Fuzz字典](https://github.com/TheKingOfDuck/easyXssPayload/blob/master/easyXssPayload.txt)
```
https://github.com/TheKingOfDuck/easyXssPayload/blob/master/easyXssPayload.txt
```
![CoolCat](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/images/xss.jpg)
采集自`github`。
## [用户名字典](https://github.com/TheKingOfDuck/fuzzDicts/tree/master/userNameDict)
```
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/userNameDict
```
![CoolCat](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/images/username.jpg)
## [密码字典](https://github.com/TheKingOfDuck/fuzzDicts/tree/master/passwordDict)
```
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/passwordDict
```
![CoolCat](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/images/password.jpg)
## [目录字典](https://github.com/TheKingOfDuck/fuzzDicts/tree/master/directoryDicts)
```
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/directoryDicts
```
![CoolCat](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/images/directory.jpg)
## [SQL Fuzz字典](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/sqlDict/sql.txt)
```
https://github.com/TheKingOfDuck/fuzzDicts/blob/master/sqlDict/sql.txt
```
![CoolCat](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/images/sql.jpg)
## [ssrf fuzz字典](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/ssrfDicts)
```
https://github.com/TheKingOfDuck/fuzzDicts/blob/master/ssrfDicts
```
![CoolCat](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/images/ssrf.jpg)
由[\xeb\xfe](https://github.com/doge-dog)师傅提供。
## [XXE字典](https://github.com/TheKingOfDuck/fuzzDicts/tree/master/XXEDicts)
```
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/XXEDicts
```
![CoolCat](https://github.com/TheKingOfDuck/fuzzDicts/blob/master/images/xxe.jpg)
收集自百度。
## [ctf字典](https://github.com/TheKingOfDuck/fuzzDicts/tree/master/ctfDict
没有合适的资源?快使用搜索试试~ 我知道了~
fuzzDicts-master字典
共193个文件
txt:122个
py:22个
jpg:17个
需积分: 3 2 下载量 131 浏览量
2023-04-13
18:07:05
上传
评论
收藏 18.33MB 7Z 举报
温馨提示
fuzzDicts-master字典不多介绍,懂得都懂0.0.。。
资源推荐
资源详情
资源评论
收起资源包目录
fuzzDicts-master字典 (193个子文件)
1.der 939B
fileExt 37B
1.gif 63KB
init 1B
xss.jpg 369KB
xxe.jpg 335KB
api.jpg 265KB
parameter.jpg 255KB
ssrf.jpg 162KB
directory.jpg 120KB
sql.jpg 98KB
password.jpg 98KB
username.jpg 96KB
GhostScript-Rce-3.jpg 223B
Imagemagick-rce-3.jpg 204B
Imagemagick-rce-2.jpg 203B
Imagemagick-rce-1.jpg 194B
Imagemagick-rce-4.jpg 187B
GhostScript-Rce-1.jpg 187B
GhostScript-Rce-4.jpg 170B
GhostScript-Rce-2.jpg 119B
LICENSE 34KB
README.md 9KB
README.md 3KB
README.md 3KB
README.MD 2KB
README.md 1KB
README.md 1005B
README.md 695B
CHANGELOG.md 629B
README.md 99B
README.MD 93B
README.MD 8B
poc.pdf 115B
fileExt.png 109KB
arjun.py 10KB
upload-fuzz-dic-builder.py 9KB
fuzzParam.py 4KB
utils.py 3KB
api.py 2KB
RW_Password.py 2KB
init.py 2KB
main.py 2KB
scan.py 1KB
log.py 1KB
requester.py 1KB
xss.py 675B
colors.py 632B
ctf-wscan.py 619B
generatedict.py 606B
remove-duplicates.py 497B
prompt.py 477B
config.py 409B
deal_log.py 284B
__init__.py 189B
config.py 21B
__init__.py 1B
init.pyc 3KB
init.cpython-37.pyc 3KB
log.pyc 2KB
log.cpython-37.pyc 1KB
scan.cpython-37.pyc 1KB
generatedict.cpython-37.pyc 1KB
config.pyc 347B
config.cpython-37.pyc 292B
__init__.pyc 204B
__init__.cpython-37.pyc 181B
密码字典4952222条.rar 10.56MB
dic1.txt 10.05MB
ChinaUserName.txt 9.73MB
main.txt 1.99MB
四个条件至少满足三个的6位数密码107965条.txt 1.14MB
birth.txt 1.02MB
四个条件至少满足三个的8位数密码91286条.txt 1MB
某集团下发的弱口令字典.txt 1023KB
至少存在一个大写字母一个小写字母一个数字不能有三个相同的字符和特殊符号的6位数密码76905条.txt 798KB
数字和字母同时存在的6位数密码76905条.txt 798KB
至少存在一个大写字母一个小写字母一个数字的6位数密码75945条.txt 788KB
至少存在一个大写字母一个小写字母一个数字不能有三个相同的字符和特殊符号的8位数密码60850条.txt 664KB
数字和字母同时存在的8位数密码60850条.txt 664KB
AllParam.txt 664KB
至少存在一个大写字母一个小写字母一个数字的8位数密码59995条.txt 654KB
top30000.txt 493KB
Filenames_or_Directories_All.txt 402KB
win_upload_fuzz.txt 386KB
all_upload_fuzz.txt 386KB
apache_upload_fuzz.txt 385KB
iis_upload_fuzz.txt 383KB
tomcat_upload_fuzz.txt 380KB
至少存在一个字母一个数字一个特殊符号的6位数密码27566条.txt 325KB
至少存在一个字母一个数字一个特殊符号的8位数密码26860条.txt 319KB
en_dirctories_all.txt 266KB
vars.txt 256KB
php.txt 197KB
all.txt 167KB
top19576.txt 157KB
params.txt 150KB
fileName10000.txt 146KB
webshell-pass.txt 140KB
jsp_upload_fuzz.txt 133KB
共 193 条
- 1
- 2
资源评论
kui954
- 粉丝: 1295
- 资源: 33
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功