点击上方蓝字关注我们
信息收集想必大家应该不陌生,但是在渗透过程中,信息搜集怎么解释呢?实际上信息收集就是将一些零散的信息,通过一些技术手段整合到一起,成为我们能够直接在渗透中使用的这种过程就叫信息收集,通常包含了IP收集、C段收集、域名收集、web目录收集等。
在我们渗透当中,会去爆破账户密码、后台目录、敏感文件等,随着这些攻击的出现很多开发人员都会讲目录更换名字,这里给大家找到几个目录字典弱口令,敏感目录,敏感文件等渗透测试常用攻击字典。
目前字典的目录大概分布如下:
账户字典
|-常用弱密码
|-常用账户名
|-中国人名拼音
|-常用手机号
fuzz字典
|-LDAP注入
|-SQL注入
|-XSS攻击
|-文件遍历
|-XXE
|-vul(各种中间件目录)
中间件弱口令
|-axis弱口令
|-tomcat账户
|-tomcat密码
|-weblogic弱口令
|-zabbix弱口令
敏感文件扫描
|-asp文件
|-php文件
|-jsp文件
|-压缩包文件
|-txt文件
|-aspx文件
|-db文件
|-cmf&cgi文件
服务弱口令
|-ftp弱口令
|-远程桌面弱口林
|-mysql弱口令
|-ssh弱口令
其它
|-webshell常用密码
|-路由器常用密码
|-常用安全设备密码
-
参数Fuzz字典
-
Xss Fuzz字典
-
用户名字典
-
密码字典
-
目录字典
-
sql-fuzz字典
-
ssrf-fuzz字典
-
XXE字典
-
ctf字典
-
Api字典
-
路由器后台字典
-
文件后缀Fuzz
-
js文件字典
-
子域名字典
工具推荐:burpsuite,sqlmap,xssfork,Wfuzz,webdirscan
参数Fuzz字典
https://github.com/TheKingOfDuck/fuzzDicts/blob/master/paramDict/parameter.txt
Xss Fuzz字典
https://github.com/TheKingOfDuck/easyXssPayload/blob/master/easyXssPayload.txt用户名字典
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/userNameDict
密码字典
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/passwordDict
目录字典
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/directoryDicts
SQL Fuzz字典
https://github.com/TheKingOfDuck/fuzzDicts/blob/master/sqlDict/sql.txt
ssrf fuzz字典
https://github.com/TheKingOfDuck/fuzzDicts/blob/master/ssrfDicts
XXE字典
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/XXEDicts
ctf字典
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/ctfDict
Api字典
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/apiDict/api.txt
路由器后台字典
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/routerDicts/pass.txt
文件后缀Fuzz
https://github.com/TheKingOfDuck/fuzzDicts/tree/master/uploadFileExtDicts
采集自https://github.com/c0ny1/upload-fuzz-dic-builder
js文件字典
采集自:https://github.com/7dog7/bottleneckOsmosis
项目地址下载:
https://github.com/TheKingOfDuck/fuzzDictshttps://github.com/Stardustsky/SaiDicthttps://github.com/DictionaryHouse/Dirpath_List
原文始发于微信公众号(Rot5pider安全团队):渗透中常用账户密码、后台目录、敏感文件字典
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论