2024不错的“实战沉淀字典”项目

项目简介

@SexyBeast233师傅分享的一个“实战沉淀字典”，收集整理了他在实战测试中常用到的一些字典，目录结构如下。

├─ctf
├─filelak
├─SQL注入
├─Xss字典
├─厂商关键字
├─参数字典
├─各种语言字典(评分制)
├─命令执行字典
├─备份文件字典
├─字符字典
├─手机号字典
├─无危害上传文件
├─日志字典
├─服务&中间件字典
├─源码敏感字字典
├─用户名o密码字典
├─硬件设备默认口令
├─请求头字典
└─黑名单字典

实战字典

1、fileleak(本项目含金量最高)

此字典为泄露文件检查 针对API与文件也存在应当会出现的备份文件

H2-9000.txt 看名字就知道9000起步的 现在增长到14000了 (初步 少量 高质量 打点)
H3-5w敏感文件.txt 包含H2-9000所有内容 但是超级加倍 ( 全量检查 检查api, 泄露文件, 备份文件)

2、参数字典( 只要常用关键词够多,程序员总会词穷 )

此字典不完善 只有一百多个 , 但是可以利用参数关键字 , 来拼接参数与各种页面fuzz

3、备份文件字典( 备份?源码拿来吧你 )

此字典为备份文件 分为后缀名与备份文件名 .( 就是H2和H3提取出来的 )

此处个人认为后缀名比较完善 但备份文件名命中率不是很高 需要结合当前FUZZ路径与web名称进行实时修改( 就是H2和H3提取出来的 )

4、字符字典( 只要我全字符穷举,总会有结果 )

此字典为字符控制 ,存在三字符 四字符 五字符 . 用于控制缩写存在的web路径 ( 用于gov或其他waf与cdn 用来检查不知道的路径 )

例如：

http://zhandian.com/zhandian/druid/spring.html
http://zhandian.com/zd/druid/spring.html

5、手机号字典( 为什么留测试手机号 )

此字典为手机号参数 ; 没什么好说的 测试手机号 有规律的手机号

6、用户名&密码字典( 这个纯属自己收集 )

此字典为用户名&密码字典 成功率只能说还行 密码为常见密码,但没有很仔细的一个个检查是否为真的top密码;

7、请求头字典

各种扫描工具以及发包工具自用