/Dictionary-Of-Pentesting

Dictionary collection project such as Pentesing, Fuzzing, Bruteforce and BugBounty. 渗透测试、SRC漏洞挖掘、爆破、Fuzzing等字典收集项目。

Primary LanguageShell

Dictionary-Of-Pentesting

简介

收集一些常用的字典,用于渗透测试、SRC漏洞挖掘、爆破、Fuzzing等实战中。

收集以实用为原则。目前主要分类有认证类、文件路径类、端口类、域名类、无线类、正则类。

涉及的内容包含设备默认密码、文件路径、通用默认密码、HTTP参数、HTTP请求头、正则、应用服务默认密码、子域名、用户名、系统密码、Wifi密码等。

该项目计划持续收集。

更新记录

2022.12.07

  1. 增加trickest/wordlists字典,主要包括robots.txt 文件中的disallow的路径汇总和168的子域名字典。

2022.07.16

  1. k8s 路径
  2. phpunit路径
  3. properties 文件路径字典
  4. yaml文件名字典
  5. 用户名字段名称字典

2022.05.08

  1. 增加 keys/secret 正则表达式
  2. 增加Dom XSS sink

2021.12.14

  1. 增加EyeWitness的识别规则

2021.10.04

  1. 增加Burp的Software Version Checks的识别规则
  2. 增加Client-Side Prototype Pollution的规则(基于Burp的Software Version Checks插件)

2021.09.22

  1. 增加MQTT 爆破用的用户名和密码。

2021.08.01

  1. 增加100余条CND列表
  2. 系统命令执行Fuzzing payload

2021.07.30

  1. 增加19个cdn服务列表。 感谢@leveryd 提供

2021.07.26

  1. 增加一个子域名爆破字典

2021.06.23

  1. 一些开源Web应用的ViewState默认key。
  2. upload 一些上传文件的参数名

2021.06.18

  1. 增加Bug-Bounty-Wordlists

2021.06.06

  1. 增加SuperWordlist的用户名和密码字典。包括Tomcat、PMA、DEV等密码字典,还有CN、EN邮箱用户名、TOP20管理用户名。
  2. 200万子域名字典

2021.06.02

  1. 增加43个云waf或cdn列表

2021.05.28

  1. 增加wappalyzer的指纹规则

2021.04.28

  1. XXE payloads for specific DTDs

2021.04.26

  1. 增加云厂商的metadata有用的一些地址。(包含AWS、Google Cloud、Digital Ocean 、Packetcloud、Azure、Oracle Cloud 、Alibaba、OpenStack/RackSpace 、Oracle Cloud、Kubernetes)

2021.02.19

  1. 增加aem路径列表

2021.02.07

  1. 增加top25 漏洞参数(SQLI/XSS/RCE/OPENREDIRECT/LFI/SSRF)

2021.02.04

  1. 增加all.txt 字典。

2021.02.03

  1. 增加amass的子域名字典。

2021.01.31

  1. 增加AllAboutBugBounty项目的文档

2021.01.27

  1. 增加几个可能导致RCE的端口

2021.01.24

  1. 增加两个github dork

2021.01.16

  1. 增加cve的一些路径

  2. 一些已知错误配置的路径

  3. 一些API端点或服务器信息的特殊路径

  4. 以上3种的合集(去重后)

2021.01.13

  1. 增加callback参数字典

  2. 增加常见报错信息字符串列表

  3. 增加debug参数字典

  4. 增加snmp密码字典

  5. 增加weblogic常见用户名密码

  6. 增加oracle用户名、密码字典

2021.01.04

  1. 增加DefaultCreds-cheat-sheet

2021.01.03

  1. 增加crackstation下载地址(由于字典太大,给出下载链接)。

  2. 增加rockyou字典。

  3. 增加cain字典。

2021.01.02

  1. 增加webshell密码字典

  2. 增加7w和81万请求参数字典

  3. 增加Lcoalhost地址字典

  4. HTML标签列表

2020.12.31

  1. 增加域账户弱密码字典(7000+)

2020.12.30

  1. 增加ntlm验证的路径

2020.12.15

  1. 增加github dork的搜索脚本。

2020.12.09

  1. 增加CEH web services的用户名和密码字典。

2020.12.07

  1. 增加oracle路径列表

2020.11.23

  1. 增加ctf字典。

  2. 增加摄像rtsp默认路径和默认用户名和密码

2020.11.14

  1. 增加1个ics 默认密码字典

  2. 增加1个设备默认密码字典(3400余条)

2020.11.04

  1. 增加 Wordpress BruteForc List

2020.11.03

  1. 增加几个默认口令

2020.10.15

  1. 增加一些payload

2020.09.30

  1. 增加常见可以RCE的端口

2020.09.29

  1. bugbounty oneliner rce

  2. 一些默认路径

  3. top 100k 密码字典

  4. top 5k 用户名字典

  5. 一些代码审计正则表达式

2020.09.27

  1. 增加cms识别指纹规则集,包含 fofa/Wappalyzer/WEBEYE/web中间件/开发语言 等众多指纹库内容

2020.09.22

  1. 修改swagger字典,添加5条路径

2020.09.21

  1. 增加3种类型密码字典,拼音、纯数字、键盘密码字典

  2. 增加scada 默认密码,硬编码等列表

2020.09.18

  1. 增加11k+用户名密码组合

2020.09.17

  1. 增加action后缀 top 100

  2. javascript 中on事件列表

  3. URL 16进制fuzz

2020.09.15

  1. 增加XXE bruteforce wordlist

  2. 增加sql备份文件名字典

  3. 删除重复的spring boot内容

2020.09.10

  1. 增加自己收集的webservices内容。包含webservices目录,文件名,拓展名。后续计划增加存在漏洞webservices路径内容

  2. readme中增加更新历史

2020.09.09

  1. 增加weblogic路径

  2. 增加swagger路径

  3. 增加graphql路径

  4. 增加spring-boot路径

  5. 去掉device/default_password_list.txt文件中的空行

2020.09.08

  1. 更新jsFileDict.txt字典,增加4个js文件名

2020.09.07

  1. 添加绕过ip限制的http请求投

  2. 修改readme.md

2020.08.29

  1. 增加常见设备、安全产品默认口令

  2. 增加一行命令的BugBounty tips

  3. 增加两处参数字典

  4. 增加bruteforce-lists的字典

  5. Readme 文件增加来源。逐渐完善。

2020.08.28

  1. 增加api路径

  2. 增加js文件路径

  3. 增加http请求参数

  4. 增加http请求参数值

2020.08.27

  1. 删除一些多余文件

  2. 精简Files下的dict的层级

  3. 增加DirBuster字典

  4. 增加spring boot actuator字典

2020.08.26

首次提交

来源&致谢

该项目内容均来源于网络或自己整理,感谢各位大佬们的共享精神和辛苦付出~