ist 的 myfuzz 字典整合了各种主流目录爆破库,像是 SaiDict、SecLists、7kbscan、御剑啥的,全都糅到一块了,挺方便的。
从 600 多万条目录中,myfuzz 自动提取重复度高的条目——像dirtop10000.txt里的路径,能重复出现 20 次,命中率高。防护严就用top1000,防护一般直接上top60000,扫描覆盖面更广。
WebShell 密码、后台用户名、高效弱口令这些文件也一并打包,像WebShell-Password.txt、NewMimi.txt这些都有用,平时测站点登录就靠它们。
还有一个挺好玩的脚本dir.py,能根据网址自动生成字典,适合那种结构清晰、目录规律的站点。你可以按需改改,比如目录后缀列表:['.rar','.zip','.bak'],还能加个时间戳啥的。
如果你常年混渗透、挖目录,建议收藏一下。myfuzz 不是那种一股脑儿堆数据的工具,是提炼后的精品,跑得快、命中率高,用起来还挺省心。