开源项目 | fuzzDicts - 字典,一个就够了

项目介绍

Web Pentesting Fuzz 字典，一个就够了。

（注：公众号禁用超链接，故此将文中所有超链接去掉，文末原文链接为Github传送门，README中拥有所有超链接）

log

不定期更新，使用前建议git pull一下，同步更新。

20191219:

• 使用正则(W)过滤了很多无效的参数,如空格(){}等等,并允许-的存在，重新合并去重了一下参数字典，均放在AllParam.txt，感谢奶权师傅的反馈。

20191214:

• 最近在整理各CMS的漏洞，前前后后下载了50多个CMS,顺便重新采集了一下参数，parameter.txt的体积增加到5859条。（原2800+）

20191106:

• 在密码字典下新增加了华为安全产品默认用户名密码速查表.

20191026:

• 使用过程中发现参数字典冗杂了,所以将最近采集的到的以及一些优秀的工具中的字典合并去重复放进了AllParam.txt，共51219条，推荐使用.

20191022:

• 在参数字典下新增了Arjun的一个工具,比原先的脚本要强大得多,字典在db目录下.

20190928:

• 在passwordDict下新增了从猪猪侠师傅Github复制的wifi密码top2000字典。

20190819:

• 在directoryDicts下新增了常见漏洞目录，推荐直接使用all.txt

• 在passwodDict下新增了常见安全设备/路由器/中间件/服务弱口令清单。不过还是推荐使用RW_Password这个强弱口令字典，因为等保的强压之下很多单位不得不将密码设置的复杂，为了方便记忆这些密码又基本都是有规律的，从而诞生了强弱口令，真的很好用啊。

• 其他更新，本次更新部分字典采集自SaiDict,合并的时候仔细去重了。

20190811：

• 上传了自己平常爆破子域名用的字典(从subDomainsBrute,layer等工具中提取出来合并去重，再和自己生成的部分字典合并)，推荐使用main.txt,另一个比较弟弟。

20190801：

• 合并了一个r35tart师傅整理的很好的“强弱口令”字典（即看起来很复杂，但实际上很多人在用的密码）

20190615：

• 合并了一个国外的字典 感觉分类有点乱 考完试再重新整理一下咯。

content

• 参数Fuzz字典

• Xss Fuzz字典

• 用户名字典

• 密码字典

• 目录字典

• sql-fuzz字典

• ssrf-fuzz字典

• XXE字典

• ctf字典

• Api字典

• 路由器后台字典

• 文件后缀Fuzz

• js文件字典

• 子域名字典

工具推荐：burpsuite,sqlmap,xssfork,Wfuzz,webdirscan

如果有什么的好字典或是建议欢迎提交issue给我。

参数Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/paramDict/parameter.txt

采集自ThinkPHP,yii2,phphub,Zblog,DiscuzX,WordPress等常见PHP框架/CMS。

使用技巧：如http://127.0.0.1/1.php ,视为可疑文件，进行fuzz param 选择GET,POST AND (POST JSON) AND (GET Route) AND cookie param

Xss Fuzz字典

https://github.com/TheKingOfDuck/easyXssPayload/blob/master/easyXssPayload.txt

采集自github。

用户名字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/userNameDict

密码字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/passwordDict

目录字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/directoryDicts

SQL Fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/sqlDict/sql.txt

ssrf fuzz字典

https://github.com/TheKingOfDuck/fuzzDicts/blob/master/ssrfDicts

由xebxfe师傅提供。

XXE字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/XXEDicts

收集自百度。

ctf字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/ctfDict

采集自kingkaki，原先收集时百度直接下载的压缩包，没看到github链接，所以没标记来源，抱歉抱歉

Api字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/apiDict/api.txt

钟馗采集的代码写得很cxk 我真弟弟。。。

路由器后台字典

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/routerDicts/pass.txt

文件后缀Fuzz

https://github.com/TheKingOfDuck/fuzzDicts/tree/master/uploadFileExtDicts

采集自https://github.com/c0ny1/upload-fuzz-dic-builder

js文件字典

采集自:https://github.com/7dog7/bottleneckOsmosis

本文始发于微信公众号（米斯特安全团队）：开源项目 | fuzzDicts - 字典,一个就够了