magikh0e/Wordlists
GitHub: magikh0e/Wordlists
聚合了源自 SecLists 等项目的安全测试用字典合集,覆盖发现、模糊测试、密码破解、payload 和 IOC 等多种渗透测试与安全审计场景。
Stars: 2 | Forks: 1
# 字典
一个精心整理的字典合集,用于**安全测试** —— 包括内容发现、模糊测试、密码破解、用户名枚举、payload 生成和源代码模式匹配。
## 目录
| 类别 | 文件数 | 包含内容 |
|---|--:|---|
| **[Discovery](Discovery)** | ~275 | 内容与基础设施发现。`Web-Content/`(246 个文件 —— 目录/文件爆破列表),以及 `DNS/`、`SNMP/`、`Mainframe/`、`Infrastructure/` 和模板 `Variables/`。 |
| **[Fuzzing](Fuzzing)** | ~4,590 | 本仓库的主体部分。模糊测试字符串和注入 payload —— 格式化字符串、“大型恶意字符串列表”、命令注入、字符/数字爆破列表(3-6 位数字、字母数字)、文件扩展名,以及针对数据库/特定技术的模糊测试集。 |
| **[Passwords](Passwords)** | ~170 | 密码破解列表 —— `darkweb2017` top-N、`darkc0de`、默认凭据集、各语言列表、泄露的数据库转储、蜜罐捕获以及破解的哈希集合。 |
| **[Usernames](Usernames)** | ~14 | 用户名枚举 —— `xato-net-10-million-usernames`、默认用户名 (cirt, SAP, MSSQL)、常见管理员名称和姓名列表。 |
| **[Payloads](Payloads)** | ~37 | 用于上传/处理测试的恶意文件 payload —— zip bomb、zip 路径穿越、AV 测试文件、Flash、精心构造的图片、`PHPInfo`。 |
| **[Pattern-Matching](Pattern-Matching)** | ~11 | 用于源代码审计的 grep 字符串 —— 危险的 PHP/Angular 函数、PHP magic hash、错误字符串和恶意模式签名。 |
| **[Miscellaneous](Miscellaneous)** | ~210 | 其他所有内容 —— 各种语言的字典 (EN/FR/DE/ES/PT)、DNS 解析器、顶级域名列表 (Alexa/Majestic)、EFF 骰子列表、安全问题答案和源代码示例。 |
| **[IOCs](IOCs)** | ~6 | 攻陷指标 —— 卡巴斯基 "Careto" / The Mask APT C2、域名、文件路径和注册表键。 |
### 独立的顶级文件
- **[`common-php-files.txt`](common-php-files.txt)** —— 用于 Web 内容发现的常见 PHP 文件名。
- **[`graphql.txt`](graphql.txt)** —— GraphQL endpoint / 字段名字典。
- **[`password_files`](password_files)** —— 常见密码文件路径(可用作 LFI / 路径穿越目标列表)。
## 克隆部分子目录
整个仓库体积较大。如果只需要拉取特定目录,请使用 sparse checkout:
```
git clone --no-checkout --depth 1 https://github.com/magikh0e/Wordlists.git
cd Wordlists
git sparse-checkout init --cone
git sparse-checkout set Discovery/Web-Content # just one subtree
git checkout
```
或者直接下载单个文件,无需克隆:
```
curl -O https://raw.githubusercontent.com/magikh0e/Wordlists/main/common-php-files.txt
```
## 来源与致谢
这是一个聚合的合集。很大一部分目录结构和内容源自 **[SecLists](https://github.com/danielmiessler/SecLists)**(Daniel Miessler, Jason Haddix, g0tmi1k 及其他贡献者)—— 如果您需要权威且持续更新的上游源,请访问那里。
这里收录的其他知名来源包括 `darkc0de` 和 `darkweb2017` 密码列表、`xato-net` 1000 万用户名语料库,以及卡巴斯基发布的关于 "Careto" / The Mask 活动的 IOC。**每个字典仍保留其原作者的许可证和条款** —— 本仓库仅为方便大家使用而建立的镜像/聚合,并不声称对底层字典拥有作者身份。
## 许可证
本合集未应用统一的许可证 —— 各个字典根据其各自的上游来源携带自身的许可证(请参阅 [来源与致谢](#sources--attribution))。请根据每个列表的原始来源对其进行相应处理。
标签:DOS头擦除, 大数据, 威胁情报, 字典库, 安全测试, 密码破解, 应用安全, 开发者工具, 攻击性安全, 目录扫描, 网络安全研究, 配置审计