ethicalcodnoz/pentest-wordlists

GitHub: ethicalcodnoz/pentest-wordlists

一套专为印度攻击面精心整理的轻量级渗透测试字典集,涵盖密码、子域名、注入载荷、默认凭据等十余个实战分类。

Stars: 0 | Forks: 0

🔐 渗透测试字典

专为渗透测试精选的字典 —— 专注于印度攻击面。
由渗透测试人员打造,为渗透测试人员服务。没有凑数,没有重复,每个列表都是为真实 engagements 精心挑选的。

Lists Authorized MIT Size Stars

## 为什么还需要另一个字典仓库? [SecLists](https://github.com/danielmiessler/SecLists) 是黄金标准,但它超过了 1GB 且过于通用。本仓库与众不同: - **🇮🇳 专注印度** — 针对 `.in` 域名、印度 ISP 路由器、Aadhaar/PAN 门户、UPI 应用、电信平台以及印度用户行为的字典 - **轻量级** — 没有臃肿内容。每一条目都有其存在的理由 - **实用** — 按攻击类型组织,可直接通过管道传递给 `ffuf`、`gobuster`、`hydra`、`sqlmap` 或 `burp` - **持续维护** — 定期从真实 engagements 中添加新列表 ## 📂 分类 ``` pentest-wordlists/ │ ├── 🔑 passwords/ │ ├── common-indian.txt # Indian cultural passwords (cricket, Bollywood, cities, religions) │ ├── pin-codes.txt # 4-digit PINs (ATM, UPI, screen lock patterns) │ └── date-formats-indian.txt # DD/MM/YYYY date passwords (Indian format) │ ├── 👤 usernames/ │ ├── common-indian-names.txt # Top Indian first names + admin accounts │ └── email-patterns-indian.txt # Email format templates (Gmail, Yahoo, Rediffmail, gov.in, NIC) │ ├── 🌐 subdomains/ │ ├── common-subdomains.txt # Generic subdomains (api, dev, staging, mail, vpn, etc.) │ └── indian-platforms.txt # Jio, Airtel, BSNL, IRCTC, Aadhaar, GST, banking subdomains │ ├── 📁 directories/ │ └── common-dirs.txt # Web directory brute-force (admin panels, configs, backups, .git) │ ├── 💉 sqli/ │ └── sqli-payloads.txt # SQL injection (auth bypass, UNION, blind, error-based, time-based) │ ├── ⚡ xss/ │ └── xss-vectors.txt # XSS payloads (reflected, DOM, filter bypass, encoding, cookie theft) │ ├── 🔗 api-endpoints/ │ └── common-api-paths.txt # API route discovery (REST, GraphQL, OTP, payments, Spring actuators) │ ├── 🔓 default-credentials/ │ └── indian-routers-and-panels.txt # Default creds for Jio/Airtel/BSNL routers + web panels │ ├── 🔍 fuzzing/ │ └── lfi-traversal.txt # LFI/path traversal payloads (encoding bypasses, PHP wrappers) │ └── 🖥️ user-agents/ └── indian-market-devices.txt # UA strings for Indian market (Samsung, Xiaomi, JioPhone, etc.) ``` ## 🚀 使用示例 ### 使用 `ffuf` 进行目录暴力破解 ``` ffuf -u https://target.com/FUZZ -w directories/common-dirs.txt -mc 200,301,302,403 ``` ### 使用 `gobuster` 进行子域名枚举 ``` gobuster dns -d target.in -w subdomains/indian-platforms.txt -t 50 ``` ### 使用 `hydra` 进行密码喷洒 ``` hydra -L usernames/common-indian-names.txt -P passwords/common-indian.txt target.com http-post-form "/login:user=^USER^&pass=^PASS^:Invalid" ``` ### 使用 `sqlmap` 进行 SQL 注入 ``` sqlmap -u "https://target.com/search?q=test" --tamper=space2comment --file-read=sqli/sqli-payloads.txt ``` ### 使用 `dalfox` 进行 XSS 测试 ``` cat xss/xss-vectors.txt | dalfox pipe -u "https://target.com/search?q=" ``` ### 使用 `ffuf` 进行 LFI 模糊测试 ``` ffuf -u "https://target.com/page?file=FUZZ" -w fuzzing/lfi-traversal.txt -mc 200 ``` ### 使用 `curl` 进行 User-Agent 轮换 ``` while read ua; do curl -s -A "$ua" https://target.com -o /dev/null -w "%{http_code}\n"; done < user-agents/indian-market-devices.txt ``` ## 🇮🇳 针对印度定制的特色在哪? | 分类 | 印度特色聚焦 | |---|---| | **密码** | 板球运动员(Sachin、Virat、Dhoni)、城市(Mumbai、Delhi)、节日(Diwali)、宗教词汇、电信品牌(Jio、Airtel)、手游(BGMI、Free Fire) | | **子域名** | IRCTC、Aadhaar/UIDAI、GST 门户、EPFO、Parivahan、SBI/HDFC/ICICI 网银、UPI(PhonePe、GPay、BHIM) | | **默认凭据** | JioFi、Airtel Xstream、BSNL 路由器(Beetel、ZTE、Nokia ONT)、ACT Fibernet、Hathway | | **User-Agents** | Samsung Galaxy A 系列、Xiaomi Redmi Note、Realme、POCO、JioPhone (KaiOS) —— 印度人民实际使用的设备 | | **邮箱模式** | Rediffmail、Yahoo.co.in、NIC.in、gov.in —— SecLists 未覆盖的服务商 | | **日期格式** | DD/MM/YYYY(印度标准)、独立日(15/08/1947)、共和日(26/01/1950) | ## ⚠️ 免责声明 ## 📜 许可证 [MIT License](LICENSE) —— 自由使用,转载请注明出处。 ## 👤 作者 **[@ethicalcodnoz](https://github.com/ethicalcodnoz)** —— 17 岁开发者、道德黑客、网络安全爱好者。

⭐ 如果本仓库能在你下一次 engagement 中节省你的时间,请给个 Star。
基于真实的渗透测试经验构建,而非从其他仓库抓取。

标签:PoC, 字典, 安全测试, 攻击性安全, 暴力破解