Web Pentesting Fuzz 字典

前言

  一个好用的字典对于一个做渗透行业的人来说再重要不过了。之前一直苦于没有合适的字典，现在GitHub上发现的一个非常棒的Web Pentesting Fuzz 字典项目，该项目收集的字典内容非常全面，而且项目作者也一直在更新字典内容，赶紧Get收藏！

0x001 fuzzDicts

Web Pentesting Fuzz 字典,一个就够了。

• GitHub地址：https://github.com/TheKingOfDuck/fuzzDicts

0x002 更新日志

不定期更新，使用前建议git pull一下，同步更新。

20200420:

• 合并一个由lanyi1998提交的pr，测试常用手机号码top300+，放在用户名字典里面，瓶颈测试时可以试试；添加一份团队Child师傅提供的某集团的弱口令字典。

20200410:

• 上传了centos和aix的/etc/目录，放在ssrfDict里面，aix和其他系统区别还是蛮大的，实战一下RFI注意区别。

20200406:

• 合并一个由lewiswu1209提交的pr，密码top19576。

20200410:

• 新增centOS和AIX主机的/etc/目录的文件列表，放在ssrfDict目录，实战中遇到的，aix和其他系统区别还是蛮大的，作用自己琢磨。

20200318:

• 带中文的那个hk字典和这个项目没有半毛钱关系，已有的字典源自给小伙伴测试博客时得出得结论(密码和id关联度很高),所以才基于404notfound师傅的成果分离了一些字段,方便爆破shell之类的,不希望在字典内得可已自己提交pr删一下。至于怕被查什么的，本身404notfound师傅那边就有完整的了,这边不是源头删了也没啥用,再者，已经有公司专门做这样的事情了(给攻击者画像)，保护没做好只要犯事都跑不掉的…

20200311:

• 黑阔字典原始数据非本人采集，我只是提取了404notfound师傅的成果中的字段，采集本身就不可能全面覆盖到整个行业所有师傅，如果有想把其他师傅加入名单的师傅可以私聊我或者提交commit啊。[手动狗头]

20200221:

• 更新由makoto56师傅加强后的webshell密码字典,离职学习中，毕业前不会有太多的web测试任务（也不想再继续打web了），字典更新频率会降低很多，如果有小伙伴想一起维护可以联系我啊。

20200211:

• 新增一个lot字典，数据来源于tg群里别人发的50w互联网lot设备弱口令，由sunu11师傅提取，在此基础上添加了国内的数据。遇到不知名的设备时一阵爆怼咯，擅用字典，事半功倍。

20200115:

• xss字典增加burp官方的210条payload，放在easyXssPayload目录下的burpXssPayload.txt文件中。
• 用户名字典增加了2018-2020青年安全圈黑阔们的id，数据来源Security-Data-Analysis-and-Visualization，分离了id,博客域名,github ID三个字段。放在userNameDict目录下sec_ID.txt,遇到shell先去撞一下,自建waf这些id都标记为黑名单关键字就对了。
• 其他优化，更新。

20200106:

• xss字典增加100+条新Payload，并合并到本项目。

20200104:

• 再次优化参数字典，感谢key师傅的修正。

20191219:

• 使用正则(\W)过滤了很多无效的参数,如空格(){}等等,并允许-的存在，重新合并去重了一下参数字典，均放在AllParam.txt，感谢奶权师傅的反馈。

20191214:

• 最近在整理各CMS的漏洞，前前后后下载了50多个CMS,顺便重新采集了一下参数，parameter.txt的体积增加到5859条。（原2800+）

20191106:

• 在密码字典下新增加了华为安全产品默认用户名密码速查表.

20191026:

• 使用过程中发现参数字典冗杂了,所以将最近采集的到的以及一些优秀的工具中的字典合并去重复放进了AllParam.txt，共51219条，推荐使用.

20191022:

• 在参数字典下新增了Arjun的一个工具,比原先的脚本要强大得多,字典在db目录下.

20190928:

• 在passwordDict下新增了从猪猪侠师傅Github复制的wifi密码top2000字典。

20190819:

• 在directoryDicts下新增了常见漏洞目录，推荐直接使用all.txt
• 在passwodDict下新增了常见安全设备/路由器/中间件/服务弱口令清单。不过还是推荐使用RW_Password这个强弱口令字典，因为等保的强压之下很多单位不得不将密码设置的复杂，为了方便记忆这些密码又基本都是有规律的，从而诞生了强弱口令，真的很好用啊。
• 其他更新，本次更新部分字典采集自SaiDict,合并的时候仔细去重了。

20190811：

• 上传了自己平常爆破子域名用的字典(从subDomainsBrute,layer等工具中提取出来合并去重，再和自己生成的部分字典合并)，推荐使用main.txt,另一个比较弟弟。

20190801：

• 合并了一个r35tart师傅整理的很好的“强弱口令”字典（即看起来很复杂，单但实际上很多人在用的密码）

20190615：

• 合并了一个国外的字典 感觉分类有点乱 考完试再重新整理一下咯。

0x003 目录

• 参数Fuzz字典
• XSS Fuzz字典
• 用户名字典
• 密码字典
• 目录字典
• SQL-Fuzz字典
• SSRF-Fuzz字典
• XXE字典
• CTF字典
• API字典
• 路由器后台字典
• 文件后缀Fuzz
• JS文件字典
• 子域名字典

工具推荐：burpsuite,sqlmap,xssfork,Wfuzz,webdirscan

如果有什么的好字典或是建议欢迎提交issue给我。

参数Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/paramDict/parameter.txt

采集自ThinkPHP,yii2,phphub,Zblog,DiscuzX,WordPress等常见PHP框架/CMS。

使用技巧：如http://127.0.0.1/1.php ,视为可疑文件，进行fuzz param 选择GET,POST AND (POST JSON) AND (GET Route) AND cookie param

XSS Fuzz字典

https://github.com/TheKingOfDuck/easyXssPayload/blob/master/easyXssPayload.txt

采集自github。

用户名字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/userNameDict

密码字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/passwordDict

目录字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/directoryDicts

SQL Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/sqlDict/sql.txt

SSRF Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/ssrfDicts

由\xeb\xfe师傅提供。

XXE字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/XXEDicts

收集自百度。

CTF字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/ctfDict

采集自kingkaki，原先收集时百度直接下载的压缩包，没看到github链接，所以没标记来源，抱歉抱歉

API字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/apiDict/api.txt

钟馗采集的代码写得很cxk 我真弟弟。。。

路由器后台字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/routerDicts/pass.txt

文件后缀Fuzz

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/uploadFileExtDicts

采集自https://github.com/c0ny1/upload-fuzz-dic-builder

JS文件字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/js

采集自:https://github.com/7dog7/bottleneckOsmosis