针对渗透测试个人专用字典的收集工作,我采取了网上搜索和平常积累的路径字典。包括HVV中常见的各大厂商的弱密码、常见的web漏洞测试、可能遇到的邮箱、密码、服务弱口令、中间件、子域名、漏洞路径以及账户密码等等。所有这些内容都是基于我在实战中收集到的,其中还包括了在Github上公布的密码字典整合,可谓是最经典的字典之一。使用这个字典就足以满足日常需求,无论是src、渗透测试、资产梳理还是红蓝对抗等探测工作。
下载 https://github.com/yichensec/yichen_Password_dictionary/releases
根据旧版本优化,具体如下
README.md
├─1.TOP10
│ FD包含.txt
│ http请求头.txt
│ SQL注入测试.txt
│ user-agents.txt
│ user_agents.txt
│ Windows文件包含.txt
│ xml.txt
│ xsspayload.txt
│ xss判断.txt
│ yyyymmdd-1960-2020.txt
│ 手机号码.txt
│ 文件包含(带截断).txt
│ 文件包含.txt
│ 文件包含简单测试.txt
│ 日志文件包含.txt
│ 点、斜线路径遍历及文件包含.txt
│ 跨目录.txt
│ 邮箱.txt
│
├─2.目录
│ apache.txt
│ api.txt
│ asp.txt
│ asp1.txt
│ asp2.txt
│ aspx.txt
│ aspx1.txt
│ back.txt
│ db.txt
│ dir.txt
│ dir1.txt
│ domain.txt
│ domain1.txt
│ fck.txt
│ iis.txt
│ JSP.txt
│ jsp1.txt
│ linux_info.txt
│ mdb.txt
│ oracle.txt
│ php.txt
│ php1.txt
│ php2.txt
│ phpmyadmin.txt
│ phpunit.txt
│ py.txt
│ shell.txt
│ shiro_keys_10w.txt
│ spring.txt
│ src专属.txt
│ thinkphp.txt
│ tomcat.txt
│ weblogic.txt
│ weblogic1.txt
│ wordpress.txt
│ 在线编辑器路径.txt
│ 备份.txt
│ 备份1.txt
│ 备份2.txt
│ 备份3.txt
│ 杂项综合.txt
│ 类型测试.txt
│
├─3.账户
│ name.txt
│ 姓名(简写、全拼).txt
│ 姓名.txt
│ 姓名大全.txt
│ 姓名简拼.txt
│ 服务通用用户名.txt
│ 用户名+密码1000合成.txt
│ 用户名+密码1400+base64加密.txt
│ 用户名+密码1400+MD5.txt
│ 通用综合厂商用户名.txt
│
├─4.密码
│ 3389密码.txt
│ birth.txt
│ top300.txt
│ top3000.txt
│ top8000.txt
│ webshell密码.txt
│ webshell密码1.txt
│ webshell密码2.txt
│ wifi密码.txt
│ wifi密码1.txt
│ 国外常用密码.dict
│ 域环境内网频次较高密码统计(排除一些企业内网通用密码).txt
│ 密码字典4952222条.txt
│ 常见身份证后六位字典(337590).txt
│ 弱口令字典.txt
│ 数字和字母同时存在的6位数密码76905条.txt
│ 数字和字母同时存在的8位数密码60850条.txt
│ 最强密码弱口令.txt
│ 服务器密码TOP100.txt
│ 服务通用密码.txt
│ 某集团下发的弱口令字典.txt
│ 生日密码.txt
│ 符合四个条件的6位数密码1633条.txt
│ 符合四个条件的8位数密码1420条.txt
│ 通用综合厂商密码.txt
│
└─5.安全产品设备
华为安全产品默认用户名密码速查表.xlsx
四千个厂商默认帐号密码、默认密码.xlsx
国内外设备默认口令整理.txt
安全设备账号密码.txt
常见设备默认密码表.pdf
很全的路由器默认初始密码集合.txt
绿盟各产品默认用户名密码.pdf
路由器默认密码.txt
旧版本