文章总结: 本文介绍fuzzDicts项目,整合50万行覆盖参数、XSS、密码、目录等15种场景的Fuzz字典。提供字典分类、Git拉取指令及结合BurpSuite等工具的实战命令,助力Web渗透测试。末尾含安全证书销售广告。 综合评分: 60 文章分类: 渗透测试,安全工具,WEB安全,软文广告
fuzzDicts – Web 渗透 Fuzz 字典「一条龙」从uname->passwd
菜狗 菜狗
只会看监控的实习生
2026年2月4日 08:02 广东
一个仓库覆盖 参数、XSS、用户名、密码、目录、SQL、SSRF、XXE、CTF、API、路由器、文件后缀、JS、子域名 等 15+ 场景 累计 50w+ 行高质量 Payload,不定期更新,使用前 git pull 即可同步最新套路!
🚀 快速拉取
git clone https://github.com/TheKingOfDuck/fuzzDicts && cd fuzzDicts
git pull # 每次用之前拉一下,保持最新
📚 字典总览(15 大类)
| 分类 | 文件/目录 | 数据量 | 来源 & 亮点 |
| — | — | — | — |
| 参数 Fuzz | paramDict/parameter.txt | 5.1w+ | 采集 TP、Yii、WP、DZ 等主流 PHP 框架,含 GET/POST/JSON/Cookie 多位置 |
| XSS Payload | easyXssPayload/easyXssPayload.txt | 2k+ | GitHub 精选 + Burp 官方 210 条,短、狠、绕过友好 |
| 用户名 | userNameDict/ | 3k+ | 百家姓拼音 + 安全圈 ID + 手机号 Top300,撞库必备 |
| 密码 | passwordDict/ | 2w+ | 华为安全产品默认口令 + 强弱口令 + Wi-Fi Top2000 |
| 目录 | directoryDicts/all.txt | 1.2w+ | 师傅经验 + Se7en 变种 + 常见漏洞目录,推荐直接用 all.txt |
| SQL Fuzz | sqlDict/sql.txt | 8k+ | 报错、布尔、时间盲注 Payload 合集 |
| SSRF | ssrfDicts/ | 1k+ | 由 \xeb\xfe 师傅提供,含/metadata/、169.254.、file:// 等 |
| XXE | XXEDicts/ | 500+ | 百度采集,实体注入 + DTD 绕过 |
| CTF | ctfDict/ | 3k+ | kingkaki 整理,Web/Misc/Pwn 通用 |
| API | apiDict/api.txt | 800+ | 钟馗采集,REST/GraphQL 接口路径大全 |
| 路由器 | routerDicts/pass.txt | 500+ | 各品牌默认后台账号密码速查 |
| 文件后缀 | uploadFileExtDicts/ | 300+ | 上传绕过后缀字典,含双扩展、空格、Null 等 |
| JS 文件 | jsDict/js.txt | 1k+ | 常见 JS 文件名,用于目录爆破 |
| 子域名 | subdomainDict/main.txt | 8w+ | 合并 subDomainsBrute + layer + 自生成,主推荐 main.txt |
🎯 使用姿势(Copy 即用)
# 1. 参数 Fuzz(GET/POST/JSON/Cookie 全位置)
wfuzz -c -w paramDict/parameter.txt https://site.com/api?FUZZ=value
# 2. 目录爆破(all.txt 一步到位)
gobuster dir -u https://site.com/ -w directoryDicts/all.txt
# 3. 子域爆破(main.txt 8w 条)
subfinder -d site.com -w subdomainDict/main.txt
# 4. SQL 注入盲打
sqlmap -u "https://site.com?id=1" --level 5 --risk 3 -w sqlDict/sql.txt
# 5. 路由器弱口令
hydra -L routerDicts/user.txt -P routerDicts/pass.txt 192.168.1.1 http-get
📈 更新日志(精选)
| 日期 | 新增内容 | | — | — | | 20210608 | RCE Payloads(Unix & Windows)全集 | | 20201202 | Se7en 师傅 admin 目录变种 | | 20200510 | 百家姓拼音 188 条,Attack!!! | | 20200420 | 手机号 Top300 + 集团弱口令字典 | | 20200221 | 强化版 WebShell 密码字典 | | 20200115 | Burp 官方 210 条 XSS + 安全圈 ID 黑名单 |
🛠️ 工具推荐(搭配食用更佳)
- BurpSuite – Intruder 加载参数/目录字典
- sqlmap – -w 直接调用 SQL 字典
- xssfork – XSS fuzz 专用
- Wfuzz – 参数/Header/目录全能 fuzz
- webdirscan – 轻量级目录爆破
关注回复fuzz获取
低价出售安全证书不限于cisp、pte等请Vme~建了一个项目群,想进群的请回复进群即可
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:只会看监控的实习生 菜狗 菜狗《fuzzDicts – Web 渗透 Fuzz 字典「一条龙」从uname->passwd》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论