SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Wordlistler
Cheat Sheet Wordlistler
Wordlistler
Kali Linux wordlist dosya yolları - dizin tarama, şifre kırma, fuzzing
Dizin Tarama Wordlistleri
Web dizin ve dosya keşfi için wordlist yolları
4 komut

Dirb Wordlistleri

# En yaygın dizinler (küçük, hızlı tarama)
/usr/share/wordlists/dirb/common.txt

# Büyük wordlist
/usr/share/wordlists/dirb/big.txt

# Küçük wordlist (çok hızlı test)
/usr/share/wordlists/dirb/small.txt

# Uzantılar listesi
/usr/share/wordlists/dirb/extensions_common.txt

Dirbuster Wordlistleri

# Orta boy - en çok kullanılan (220K satır)
/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

# Küçük boy (87K satır - hızlı tarama)
/usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

# Büyük boy (1.2M satır - kapsamlı)
/usr/share/wordlists/dirbuster/directory-list-2.3-big.txt

# Küçük harf versiyonu
/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt

SecLists - Web Content

# Genel amaçlı
/usr/share/seclists/Discovery/Web-Content/common.txt
/usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt
/usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt

# Dosya keşfi
/usr/share/seclists/Discovery/Web-Content/raft-medium-files.txt
/usr/share/seclists/Discovery/Web-Content/raft-large-files.txt

# Teknolojiye özel
/usr/share/seclists/Discovery/Web-Content/apache.txt
/usr/share/seclists/Discovery/Web-Content/nginx.txt
/usr/share/seclists/Discovery/Web-Content/IIS.fuzz.txt
/usr/share/seclists/Discovery/Web-Content/tomcat.txt

# API endpoint keşfi
/usr/share/seclists/Discovery/Web-Content/api/api-endpoints.txt

Kullanım Örneği

# Gobuster ile hızlı tarama
gobuster dir -u http://TARGET -w /usr/share/wordlists/dirb/common.txt -x php,txt,html

# Gobuster ile kapsamlı tarama
gobuster dir -u http://TARGET -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,bak,old -t 50

# Feroxbuster ile recursive
feroxbuster -u http://TARGET -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt

İpucu: Hızlı başlangıç için dirb/common.txt kullan, sonuç yoksa büyük listeye geç. -x ile uzantı eklemek çok önemli!

Subdomain & DNS Wordlistleri
Subdomain keşfi ve DNS brute force için wordlistler
3 komut

Subdomain Keşfi

# En hızlı (5K satır)
/usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt

# Orta (20K satır)
/usr/share/seclists/Discovery/DNS/subdomains-top1million-20000.txt

# Kapsamlı (110K satır)
/usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt

# Alternatifler
/usr/share/seclists/Discovery/DNS/namelist.txt
/usr/share/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt

VHOST Keşfi

/usr/share/seclists/Discovery/DNS/namelist.txt
/usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt

Kullanım Örnekleri

# Gobuster DNS
gobuster dns -d hedef.com -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt

# VHOST tarama
gobuster vhost -u http://hedef.com -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt

# wfuzz ile subdomain
wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -H "Host: FUZZ.hedef.com" http://hedef.com
Şifre Wordlistleri
Brute force ve şifre kırma için wordlist yolları
4 komut

RockYou (En Popüler)

# 14 milyon gerçek şifre - ilk kullanımda aç:
sudo gunzip /usr/share/wordlists/rockyou.txt.gz

# Dosya yolu:
/usr/share/wordlists/rockyou.txt

SecLists - Şifreler

# Yaygın şifreler (hızlı test)
/usr/share/seclists/Passwords/Common-Credentials/10k-most-common.txt
/usr/share/seclists/Passwords/Common-Credentials/100k-most-used-passwords-NCSC.txt
/usr/share/seclists/Passwords/Common-Credentials/10-million-password-list-top-1000000.txt

# Kısa listeler (çok hızlı)
/usr/share/seclists/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt
/usr/share/seclists/Passwords/Common-Credentials/top-passwords-shortlist.txt
/usr/share/seclists/Passwords/darkweb2017-top10000.txt

Varsayılan Şifreler (Servis Bazlı)

/usr/share/seclists/Passwords/Default-Credentials/default-passwords.csv
/usr/share/seclists/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
/usr/share/seclists/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt
/usr/share/seclists/Passwords/Default-Credentials/tomcat-betterdefaultpasslist.txt
/usr/share/seclists/Passwords/Default-Credentials/mysql-betterdefaultpasslist.txt
/usr/share/seclists/Passwords/Default-Credentials/postgres-betterdefaultpasslist.txt

Kullanım Örnekleri

# Hydra ile SSH brute force
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://TARGET

# John ile hash kırma
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

# Hashcat ile
hashcat -m 0 hash.txt /usr/share/wordlists/rockyou.txt
Kullanıcı Adı Wordlistleri
Kullanıcı adı tespiti ve enumeration için wordlistler
3 komut

Yaygın Kullanıcı Adları

/usr/share/seclists/Usernames/Names/names.txt
/usr/share/seclists/Usernames/top-usernames-shortlist.txt
/usr/share/seclists/Usernames/xato-net-10-million-usernames.txt

# Linux/Unix kullanıcı adları
/usr/share/seclists/Usernames/cirt-default-usernames.txt

İsim Listeleri

# Kullanıcı adı oluşturmak için isim listeleri
/usr/share/seclists/Usernames/Names/familynames-usa-top1000.txt
/usr/share/seclists/Usernames/Names/malenames-usa-top1000.txt
/usr/share/seclists/Usernames/Names/femalenames-usa-top1000.txt

Kullanım Örneği

# Hydra ile kullanıcı adı + şifre brute force
hydra -L /usr/share/seclists/Usernames/top-usernames-shortlist.txt -P /usr/share/wordlists/rockyou.txt ssh://TARGET

# Kerbrute ile AD kullanıcı enumeration
kerbrute userenum --dc DC_IP -d DOMAIN /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt
Fuzzing & Payload Wordlistleri
SQLi, XSS, LFI ve diğer saldırılar için payload listeleri
5 komut

SQL Injection

/usr/share/seclists/Fuzzing/SQLi/Generic-SQLi.txt
/usr/share/seclists/Fuzzing/SQLi/quick-SQLi.txt

XSS

/usr/share/seclists/Fuzzing/XSS/XSS-Jhaddix.txt
/usr/share/seclists/Fuzzing/XSS/xss-without-parentheses-semi-colon-v2.txt

LFI / Path Traversal

/usr/share/seclists/Fuzzing/LFI/LFI-Jhaddix.txt
/usr/share/seclists/Fuzzing/LFI/LFI-gracefulsecurity-linux.txt
/usr/share/seclists/Fuzzing/LFI/LFI-gracefulsecurity-windows.txt

Genel Fuzzing

/usr/share/seclists/Fuzzing/special-chars.txt
/usr/share/seclists/Fuzzing/big-list-of-naughty-strings.txt

Kullanım Örnekleri

# wfuzz ile SQLi testi
wfuzz -c -z file,/usr/share/seclists/Fuzzing/SQLi/Generic-SQLi.txt -d "user=admin&pass=FUZZ" http://TARGET/login.php

# ffuf ile LFI testi
ffuf -w /usr/share/seclists/Fuzzing/LFI/LFI-Jhaddix.txt -u http://TARGET/page?file=FUZZ
Özel Wordlist Oluşturma
CeWL, CUPP, Crunch ile hedef bazlı özel wordlist üretme
4 komut

CeWL - Hedef Siteden Wordlist

# Hedef siteden kelime listesi çek
cewl http://TARGET -m 5 -w custom_wordlist.txt

# E-posta adresleri ile birlikte
cewl http://TARGET -m 5 -w words.txt -e --email_file emails.txt

# Derinlik ve minimum karakter belirle
cewl http://TARGET -d 3 -m 6 -w deep_wordlist.txt

CUPP - Profil Bazlı Şifre Listesi

# İnteraktif mod - hedef kişi bilgilerini gir
cupp -i

# Mevcut wordlist'i genişlet
cupp -w existing_wordlist.txt

Crunch - Pattern Bazlı Wordlist

# 8 karakterlik, küçük harf + rakam
crunch 8 8 -t @@@@%%%% -o wordlist.txt

# Karakter seti belirle
crunch 6 8 abcdef123 -o custom.txt

# @ = küçük harf, , = büyük harf
# % = rakam, ^ = özel karakter

Hashcat Kurallarıyla Genişletme

# Mevcut listeyi kuralla genişlet
hashcat --stdout wordlist.txt -r /usr/share/hashcat/rules/best64.rule > expanded.txt

# Popüler kural dosyaları
/usr/share/hashcat/rules/best64.rule
/usr/share/hashcat/rules/rockyou-30000.rule
/usr/share/hashcat/rules/d3ad0ne.rule

İpucu: Önce CeWL ile hedeften kelime topla, sonra Hashcat rules ile genişlet. En etkili yaklaşım budur.