SecLists, una colección de diccionarios

  • 9
  • Idea
  • Updated 2 years ago
Buenos días a la comunidad, les quería compartir un interesante proyecto que intenta recopilar diferentes diccionarios y listas para incorporarlos como inputs en las tareas de pentesting.



El proyecto se llama SecLists y su repositorio en GitHub https://github.com/danielmiessler/SecLists y alli podemos encontrar colecciones de URL's, Username, Password, nombres de Web Shell, nombres de servicios, directorios, y muchas cosas más.

A la hora de realizar PoC en fuerza bruta, crawls o reconocimientos de servicios, SecLists puede ser de gran ayuda para iniciar las pruebas.

Alguien más conoce otras colecciones de diccionarios?

Saludos!
Photo of Daniel Maldonado

Daniel Maldonado

  • 21 Posts
  • 12 Reply Likes

Posted 4 years ago

  • 9
Photo of Claudio Caracciolo

Claudio Caracciolo

  • 42 Posts
  • 39 Reply Likes
Muy buen aporte Dani.

Solo para sumar, en este sitio hay bastante de bases muy variadas como asteroides, deportes, etc.:
https://packetstormsecurity.com/Crackers/wordlists/ 

y cómo no, tablas para auditorias a redes Wi-Fi con WPA-PSK:
https://www.renderlab.net/projects/WPA-tables/

Pero no debemos olvidar el generador CeWl de Digininja que es de gran utilidad:
http://www.digininja.org/projects/cewl.php

Saludos!!

Claudio
Photo of Daniel Maldonado

Daniel Maldonado

  • 21 Posts
  • 12 Reply Likes
Genial claudio!
Photo of Pablo González

Pablo González, Official Rep

  • 201 Posts
  • 31 Reply Likes
Interesante aporte Daniel. Gracias por compartirlo.
Photo of MadCS

MadCS

  • 55 Posts
  • 50 Reply Likes
En la distribución Wifislax, hay diferentes herramientas para generación de diccionarios que son bastante interesantes cuando estamos creando un diccionario muy específico, por ejemplo algunas relacionadas con generación de fechas. Jugando con los diccionarios y herrmientas que proponeen  Daniel y Claudio, se puede disponeer de diccionarios realmente buenos.

Saludos
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Para sumar, aca una lista de Payloads y Bypass para testing en Aplicaciones Web.

https://github.com/swisskyrepo/PayloadsAllTheThings

Saludos!
Photo of Ruzy

Ruzy

  • 10 Posts
  • 9 Reply Likes
Gracias por el aporte ^^
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Otro aporte a esta coleccion de archivos/diccionarios.  
Archivos 'decompression Bomb', son archivos expresamente diseñados para bloquear o inutilizar ('crash') en aplicaciones.

https://bomb.codes/

http://trouge.net/gp/slides/Pellegrino-OWASPBeNeLux2016.pdf

Saludos!
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Hola gente, un aporte mas de este tipo de listas.

IntruderPayloads
A collection of Burpsuite Intruder payloads and fuzz lists and pentesting methodology. To pull down all 3rd party repos, run install.sh in the same directory of the IntruderPayloads folder.

https://github.com/1N3/IntruderPayloads

Saludos!
Photo of dsespitia

dsespitia

  • 74 Posts
  • 39 Reply Likes
Para continuar con los aportes de las listas de password, existe una de las configuradas por defecto en más de 1800 dispositivos, aunque el mantenimiento de la lista no es tan bueno contiene información valiosa

http://www.defaultpassword.com/

Otra que es muy útil es sobre los password por defecto de los router, este sitio puedes buscar el fabricante y te mostrara la configuración por defecto

http://www.routerpasswords.com/

Por último, la lista que entrega el CIRT sobre las configuraciones por defecto de más de 500 vendedores de dispositivos

https://www.cirt.net/passwords

Espero que sea de utilidad para todos
(Edited)
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Si bien no se alinea tanto como una lista de diccionarios... lo que si es que pueden generarlos para detectar dominios de su compania sospechos (typo squatting, phishing, espionaje,etc).

https://github.com/elceef/dnstwist

Saludos!
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Otra repo con coleccion muy recomendable.

https://github.com/fuzzdb-project/fuzzdb
Dictionary of attack patterns and primitives for black-box application fault injection and resource discovery.

Saludos!
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Una coleccion sin bien no de diccionarios, son datasets relacionados con ciberseguridad (malware, URLs maliciosas, PCAPs, IoT, fraude, phishing etc... ) . 

https://github.com/shramos/Awesome-Cybersecurity-Datasets
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Siguiendo en este hilo con el aporte de colecciones de diccionarios/repos/datos ahora comparto algunos interesantes sobre threat intellegence, bruteforce, etc.

https://github.com/hslatman/awesome-threat-intelligence
https://github.com/rshipp/awesome-malware-analysis
https://github.com/fuzzdb-project/fuzzdb
https://github.com/XalfiE/Sharepoint-URL-Fuzzlist
https://duyetdev.github.io/bruteforce-database/

Saludos!