SecLists 是一个包含多种类型列表的集合,用于安全评估测试。它汇集了各种安全测试过程中常用的字典、载荷和资源列表。
项目概述
SecLists 是安全测试人员的得力助手,包含了安全评估过程中可能需要的各种列表类型,包括用户名、密码、URL、敏感数据模式、模糊测试载荷、Web Shell等。目标是让安全测试人员能够将整个仓库拉取到新的测试环境中,立即获得可能需要的所有类型列表。
主要功能
-
全面的字典集合:包含用户名、密码、目录、文件等多种字典 -
模糊测试载荷:提供各种Web应用模糊测试所需的载荷 -
漏洞利用资源:包含XSS、SQL注入、文件包含等漏洞的测试载荷 -
默认凭证:收集了大量系统和设备的默认用户名和密码 -
API测试:专门用于API测试的字典和资源 -
Web Shell:包含多种Web Shell实现
安装指南
通过Git克隆(无提交历史,更快)
git clone --depth 1 https://github.com/danielmiessler/SecLists.git
通过Git克隆(完整版本)
git clone https://github.com/danielmiessler/SecLists.git
通过wget下载zip包
wget -c https://github.com/danielmiessler/SecLists/archive/master.zip -O SecList.zip && unzip SecList.zip && rm -f SecList.zip
Kali Linux安装
apt -y install seclists
BlackArch安装
sudo pacman -S seclists
目录结构
SecLists包含多个分类目录,每个目录专注于特定类型的测试资源:
-
Discovery - 用于发现和枚举的字典 -
Fuzzing - 模糊测试载荷 -
Passwords - 密码字典 -
Usernames - 用户名字典 -
Web-Shells - 各种Web Shell -
Miscellaneous - 其他杂项资源
使用示例
密码破解
使用Passwords目录下的字典进行密码破解:
hydra -L SecLists/Usernames/top-usernames-shortlist.txt -P SecLists/Passwords/openwall.net-all.txt ssh://target
目录爆破
使用Discovery目录下的字典进行Web目录枚举:
gobuster dir -u http://target -w SecLists/Discovery/Web-Content/common.txt
API测试
使用CMS目录下的字典进行API端点枚举:
ffuf -u http://target/FUZZ -w SecLists/Discovery/Web-Content/CMS/wordpress.fuzz.txt
原文始发于微信公众号(网络安全技术点滴分享):SecLists - 安全测试payload百宝箱
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论