# 渗透字典 **Repository Path**: wwwnetcode/infiltration-dictionary ## Basic Information - **Project Name**: 渗透字典 - **Description**: 渗透字典 - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 0 - **Forks**: 9 - **Created**: 2022-07-18 - **Last Updated**: 2022-07-18 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # Dictionary-Of-Pentesting ## 简介 收集一些常用的字典,用于渗透测试、SRC漏洞挖掘、爆破、Fuzzing等实战中。 收集以实用为原则。目前主要分类有认证类、文件路径类、端口类、域名类、无线类、正则类。 涉及的内容包含设备默认密码、文件路径、通用默认密码、HTTP参数、HTTP请求头、正则、应用服务默认密码、子域名、用户名、系统密码、Wifi密码等。 该项目计划持续收集。 ## 更新记录 **2021.12.14** 1. 增加EyeWitness的识别规则 **2021.10.04** 1. 增加Burp的Software Version Checks的识别规则 2. 增加Client-Side Prototype Pollution的规则(基于Burp的Software Version Checks插件) **2021.09.22** 1. 增加MQTT 爆破用的用户名和密码。 **2021.08.01** 1. 增加100余条CND列表 2. 系统命令执行Fuzzing payload **2021.07.30** 1. 增加19个cdn服务列表。 感谢@leveryd 提供 **2021.07.26** 1. 增加一个子域名爆破字典 **2021.06.23** 1. 一些开源Web应用的ViewState默认key。 2. upload 一些上传文件的参数名 **2021.06.18** 1. 增加Bug-Bounty-Wordlists **2021.06.06** 1. 增加SuperWordlist的用户名和密码字典。包括Tomcat、PMA、DEV等密码字典,还有CN、EN邮箱用户名、TOP20管理用户名。 2. 200万子域名字典 **2021.06.02** 1. 增加43个云waf或cdn列表 **2021.05.28** 1. 增加wappalyzer的指纹规则 **2021.04.28** 1. XXE payloads for specific DTDs **2021.04.26** 1. 增加云厂商的metadata有用的一些地址。(包含AWS、Google Cloud、Digital Ocean 、Packetcloud、Azure、Oracle Cloud 、Alibaba、OpenStack/RackSpace 、Oracle Cloud、Kubernetes) **2021.02.19** 1. 增加aem路径列表 **2021.02.07** 1. 增加top25 漏洞参数(SQLI/XSS/RCE/OPENREDIRECT/LFI/SSRF) **2021.02.04** 1. 增加all.txt 字典。 **2021.02.03** 1. 增加amass的子域名字典。 **2021.01.31** 1. 增加AllAboutBugBounty项目的文档 **2021.01.27** 1. 增加几个可能导致RCE的端口 **2021.01.24** 1. 增加两个github dork **2021.01.16** 1. 增加cve的一些路径 2. 一些已知错误配置的路径 3. 一些API端点或服务器信息的特殊路径 4. 以上3种的合集(去重后) **2021.01.13** 1. 增加callback参数字典 2. 增加常见报错信息字符串列表 3. 增加debug参数字典 4. 增加snmp密码字典 5. 增加weblogic常见用户名密码 6. 增加oracle用户名、密码字典 **2021.01.04** 1. 增加DefaultCreds-cheat-sheet **2021.01.03** 1. 增加crackstation下载地址(由于字典太大,给出下载链接)。 2. 增加rockyou字典。 3. 增加cain字典。 **2021.01.02** 1. 增加webshell密码字典 2. 增加7w和81万请求参数字典 3. 增加Lcoalhost地址字典 4. HTML标签列表 **2020.12.31** 1. 增加域账户弱密码字典(7000+) **2020.12.30** 1. 增加ntlm验证的路径 **2020.12.15** 1. 增加github dork的搜索脚本。 **2020.12.09** 1. 增加CEH web services的用户名和密码字典。 **2020.12.07** 1. 增加oracle路径列表 **2020.11.23** 1. 增加ctf字典。 2. 增加摄像rtsp默认路径和默认用户名和密码 **2020.11.14** 1. 增加1个ics 默认密码字典 2. 增加1个设备默认密码字典(3400余条) **2020.11.04** 1. 增加 Wordpress BruteForc List **2020.11.03** 1. 增加几个默认口令 **2020.10.15** 1. 增加一些payload **2020.09.30** 1. 增加常见可以RCE的端口 **2020.09.29** 1. bugbounty oneliner rce 2. 一些默认路径 3. top 100k 密码字典 4. top 5k 用户名字典 5. 一些代码审计正则表达式 **2020.09.27** 1. 增加cms识别指纹规则集,包含 fofa/Wappalyzer/WEBEYE/web中间件/开发语言 等众多指纹库内容 **2020.09.22** 1. 修改swagger字典,添加5条路径 **2020.09.21** 1. 增加3种类型密码字典,拼音、纯数字、键盘密码字典 2. 增加scada 默认密码,硬编码等列表 **2020.09.18** 1. 增加11k+用户名密码组合 **2020.09.17** 1. 增加action后缀 top 100 2. javascript 中on事件列表 3. URL 16进制fuzz **2020.09.15** 1. 增加XXE bruteforce wordlist 2. 增加sql备份文件名字典 3. 删除重复的spring boot内容 **2020.09.10** 1. 增加自己收集的webservices内容。包含webservices目录,文件名,拓展名。后续计划增加存在漏洞webservices路径内容 2. readme中增加更新历史 **2020.09.09** 1. 增加weblogic路径 2. 增加swagger路径 3. 增加graphql路径 4. 增加spring-boot路径 5. 去掉device/default_password_list.txt文件中的空行 **2020.09.08** 1. 更新jsFileDict.txt字典,增加4个js文件名 **2020.09.07** 1. 添加绕过ip限制的http请求投 2. 修改readme.md **2020.08.29** 1. 增加常见设备、安全产品默认口令 2. 增加一行命令的BugBounty tips 3. 增加两处参数字典 4. 增加bruteforce-lists的字典 5. Readme 文件增加来源。逐渐完善。 **2020.08.28** 1. 增加api路径 2. 增加js文件路径 3. 增加http请求参数 4. 增加http请求参数值 **2020.08.27** 1. 删除一些多余文件 2. 精简Files下的dict的层级 3. 增加DirBuster字典 4. 增加spring boot actuator字典 **2020.08.26** 首次提交 ## 来源&致谢 该项目内容均来源于网络或自己整理,感谢各位大佬们的共享精神和辛苦付出~ * [https://github.com/maurosoria/dirsearch](https://github.com/maurosoria/dirsearch) * [https://github.com/dwisiswant0/awesome-oneliner-bugbounty](https://github.com/dwisiswant0/awesome-oneliner-bugbounty) * [https://github.com/internetwache/CT_subdomains](https://github.com/internetwache/CT_subdomains) * [https://github.com/lijiejie/subDomainsBrute](https://github.com/lijiejie/subDomainsBrute) * [https://github.com/shmilylty/OneForAll](https://github.com/shmilylty/OneForAll) * [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists) * [https://github.com/dwisiswant0/awesome-oneliner-bugbounty](https://github.com/dwisiswant0/awesome-oneliner-bugbounty) * [https://github.com/OfJAAH/KingOfBugBountyTips](https://github.com/OfJAAH/KingOfBugBountyTips) * [https://github.com/danielmiessler/SecLists](https://github.com/danielmiessler/SecLists) * [https://github.com/TheKingOfDuck/fuzzDicts](https://github.com/TheKingOfDuck/fuzzDicts) * [https://github.com/NS-Sp4ce/Dict](https://github.com/NS-Sp4ce/Dict) * [https://github.com/s0md3v/Arjun](https://github.com/s0md3v/Arjun) * [https://github.com/fuzzdb-project/fuzzdb](https://github.com/fuzzdb-project/fuzzdb) * [https://github.com/YasserGersy/Enums/](https://github.com/YasserGersy/Enums/) * [https://gist.github.com/honoki/d7035c3ccca1698ec7b541c77b9410cf](https://gist.github.com/honoki/d7035c3ccca1698ec7b541c77b9410cf) * [https://twitter.com/DanielAzulay18/status/1304751830539395072](https://twitter.com/DanielAzulay18/status/1304751830539395072) * [https://github.com/cwkiller/Pentest_Dic](https://github.com/cwkiller/Pentest_Dic) * [https://github.com/huyuanzhi2/password_brute_dictionary](https://github.com/huyuanzhi2/password_brute_dictionary) * [https://github.com/Clear2020/icsmaster/](https://github.com/Clear2020/icsmaster/) * [https://github.com/LandGrey/SpringBootVulExploit](https://github.com/LandGrey/SpringBootVulExploit) * [https://github.com/al0ne/Vxscan][https://github.com/al0ne/Vxscan] * [https://github.com/L0kiii/FofaScan](https://github.com/L0kiii/FofaScan) * [https://github.com/nw01f/CmsIdentification-masterV2](https://github.com/nw01f/CmsIdentification-masterV2) * [https://github.com/Lucifer1993/cmsprint](https://github.com/Lucifer1993/cmsprint) * [https://github.com/erwanlr/Fingerprinter](https://github.com/erwanlr/Fingerprinter) * [https://github.com/lewiswu1209/fingerprint](https://github.com/lewiswu1209/fingerprint) * [https://github.com/shelld3v/RCE-python-oneliner-payload](https://github.com/shelld3v/RCE-python-oneliner-payload) * [https://twitter.com/ptswarm/status/1311310897592315905](https://twitter.com/ptswarm/status/1311310897592315905) * [https://github.com/xer0days/BugBounty](https://github.com/xer0days/BugBounty) * [https://twitter.com/ptswarm/status/1323266632920256512](https://twitter.com/ptswarm/status/1323266632920256512) * [https://github.com/kongsec/Wordpress-BruteForce-List/](https://github.com/kongsec/Wordpress-BruteForce-List/) * [https://github.com/nyxxxie/awesome-default-passwords](https://github.com/nyxxxie/awesome-default-passwords) * [https://github.com/arnaudsoullie/ics-default-passwords](https://github.com/arnaudsoullie/ics-default-passwords) * [https://github.com/Ullaakut/cameradar](https://github.com/Ullaakut/cameradar) * [https://github.com/pwnfoo/NTLMRecon](https://github.com/pwnfoo/NTLMRecon) * [https://github.com/chroblert/domainWeakPasswdCheck](https://github.com/chroblert/domainWeakPasswdCheck/) * [https://github.com/gh0stkey/Web-Fuzzing-Box](https://github.com/gh0stkey/Web-Fuzzing-Box) * [https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm](https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm) * [https://github.com/ihebski/DefaultCreds-cheat-sheet](https://github.com/ihebski/DefaultCreds-cheat-sheet) * [https://github.com/epony4c/Exploit-Dictionary](https://github.com/epony4c/Exploit-Dictionary) * [https://github.com/ayoubfathi/leaky-paths](https://github.com/ayoubfathi/leaky-paths) * [https://github.com/obheda12/GitDorker](https://github.com/obheda12/GitDorker) * [https://github.com/daffainfo/AllAboutBugBounty](https://github.com/daffainfo/AllAboutBugBounty) * [https://github.com/OWASP/Amass](https://github.com/OWASP/Amass) * [https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056](https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056) * [https://github.com/lutfumertceylan/top25-parameter](https://github.com/lutfumertceylan/top25-parameter) * [https://github.com/clarkvoss/AEM-List](https://github.com/clarkvoss/AEM-List) * [https://gist.github.com/BuffaloWill/fa96693af67e3a3dd3fb](https://gist.github.com/BuffaloWill/fa96693af67e3a3dd3fb) * [https://raw.githubusercontent.com/GoSecure/dtd-finder/master/list/xxe_payloads.md](https://raw.githubusercontent.com/GoSecure/dtd-finder/master/list/xxe_payloads.md) * [https://raw.githubusercontent.com/AliasIO/wappalyzer/master/src/technologies.json](https://raw.githubusercontent.com/AliasIO/wappalyzer/master/src/technologies.json) * [https://github.com/fuzz-security/SuperWordlist](https://github.com/fuzz-security/SuperWordlist) * [https://wordlists.assetnote.io/](https://wordlists.assetnote.io/) * [https://github.com/Karanxa/Bug-Bounty-Wordlists](https://github.com/Karanxa/Bug-Bounty-Wordlists) * [https://github.com/yuanhaiGreg/Fuzz-Dict](https://github.com/yuanhaiGreg/Fuzz-Dict) * [https://github.com/MistSpark/DNS-Wordlists](https://github.com/MistSpark/DNS-Wordlists) * [https://github.com/0x727/ShuiZe_0x727/blob/master/Plugins/infoGather/subdomain/CDN/cdn-domain.conf](https://github.com/0x727/ShuiZe_0x727/blob/master/Plugins/infoGather/subdomain/CDN/cdn-domain.conf) * [https://github.com/omurugur/OS_Command_Payload_List](https://github.com/omurugur/OS_Command_Payload_List) * [https://github.com/akamai-threat-research/mqtt-pwn](https://github.com/akamai-threat-research/mqtt-pwn) * [https://github.com/BlackFan/cspp-tools](https://github.com/BlackFan/cspp-tools) * [https://github.com/augustd/burp-suite-software-version-checks](https://github.com/augustd/burp-suite-software-version-checks) * [https://github.com/FortyNorthSecurity/EyeWitness/](https://github.com/FortyNorthSecurity/EyeWitness/)