1. 项目概述为什么Nuclei是安全测试的“瑞士军刀”如果你刚接触安全测试面对市面上五花八门的工具可能会感到无从下手。Burp Suite太庞大AWVS又太贵有没有一款工具能快速上手又能打出效果我的答案是Nuclei。它不是那种需要你花几个月去啃文档的庞然大物而更像一把开箱即用的“瑞士军刀”专为高效、批量的漏洞检测而生。简单来说Nuclei是一个基于YAML模板的快速漏洞扫描器社区贡献了成千上万的模板覆盖了从Web应用、网络服务到云原生基础设施的各类漏洞。你不需要从零开始写复杂的检测逻辑很多时候你只需要一条命令就能对成百上千个目标进行精准打击。最近在社区里我看到不少朋友在讨论“无法更新nuclei”的问题这恰恰说明了它的热度——大家都在用才会遇到更新上的小麻烦。同时像“nop.gsapk加固安全测试”这类具体场景的需求以及《智能网联汽车道路测试与示范应用安全通行规范》这类新兴领域如车联网安全的兴起都指向了一个趋势安全测试需要更快、更自动化、更适应复杂多变的资产环境。Nuclei的模板化、社区驱动模式正好契合了这个需求。它让你不必重复造轮子能快速将业界最新的漏洞检测能力应用到自己的测试中。这篇指南我就结合自己从零开始到用Nuclei完成各类实战项目的经验拆解成为高手的五个核心步骤。无论你是安全新人想入门还是有一定基础的工程师想提升自动化效率都能在这里找到可落地的路径。2. 核心思路拆解模板驱动与工作流自动化很多人把Nuclei简单理解为一个扫描器输入目标运行看结果。这没错但只发挥了它30%的威力。要成为高手你需要理解其背后的两个核心设计哲学模板驱动和工作流自动化。这才是它能从众多工具中脱颖而出的关键。模板驱动意味着所有的检测逻辑都封装在一个个YAML文件里。一个模板定义了要检测什么比如一个特定的SQL注入点、怎么检测发送什么请求、匹配什么响应、以及严重等级。社区ProjectDiscovery维护着一个庞大的模板库每天都有更新。你的核心技能之一就是学会高效地查找、筛选、理解甚至编写模板。这比学习一门编程语言来写扫描器要快得多。例如面对“nop.gsapk加固安全测试”这个需求你不需要去逆向加固算法而是先去模板库搜索是否有针对该加固方案历史漏洞的检测模板或者寻找类似的移动应用后端API的通用检测模板。工作流自动化则是将Nuclei嵌入到你更大的安全流程中。它不应该是孤立的。高手会把它和子域名枚举工具如subfinder、assetfinder、端口扫描器如naabu、HTTP爬虫如katana等组合起来形成一条自动化流水线发现资产 - 识别服务 - 针对性扫描。例如你可以先用一套组合拳发现某个目标的所有Web资产然后用Nuclei针对这些资产运行所有与Web相关的、中等严重性以上的模板。这实现了从“漫无目的的全端口扫描”到“精准火力覆盖”的转变。为什么选择这条路径因为现代攻击面太广了。云服务器、容器、API网关、物联网设备……手动测试效率太低。Nuclei的模板化让你能快速响应新出现的漏洞比如Log4j2它的高性能和易集成性又让它成为自动化流水线的完美“检测引擎”。你的目标不是记住所有命令而是构建一个以Nuclei为核心的高效检测工作流。3. 环境搭建与基础配置实战工欲善其事必先利其器。第一步的搭建如果出了问题后面会步步维艰。特别是“无法更新nuclei”这类问题多半源于初始环境没配好。3.1 安装与更新避开第一个坑官方推荐的首选安装方式是使用Go安装。如果你的系统有Go环境1.17一条命令最干净go install -v github.com/projectdiscovery/nuclei/v2/cmd/nucleilatest安装后二进制文件通常位于$GOPATH/bin如~/go/bin。请确保这个目录在你的系统PATH环境变量中。这是导致命令行输入nuclei提示“命令未找到”的最常见原因。对于大多数新手我更推荐使用其自带的安装脚本它能自动处理依赖和路径sudo apt update sudo apt install nuclei # 对于Debian/Ubuntu # 或者使用通用安装脚本 curl -sL https://raw.githubusercontent.com/projectdiscovery/nuclei/master/install.sh | bash安装完成后立即更新模板这是很多教程里忽略的关键一步。新安装的Nuclei自带一套核心模板但社区模板是单独管理的。运行nuclei -update-templates如果遇到“无法更新nuclei”或更新缓慢通常是网络问题。ProjectDiscovery的服务器在国外。这里有两个解决方案使用代理此处需注意合规使用仅用于加速开源软件更新。你可以通过设置环境变量让go或nuclei走代理。例如在命令行临时设置export HTTP_PROXYhttp://your-proxy-address:port export HTTPS_PROXYhttp://your-proxy-address:port nuclei -update-templates注意请务必使用合法合规的网络服务进行学术和技术资料的访问严格遵守国家网络安全法律法规。手动下载模板。如果网络实在不通可以去GitHub的nuclei-templates仓库下载master分支的zip包解压到~/.local/nuclei-templates/目录下Linux/macOS或%USERPROFILE%\.local\nuclei-templates\Windows。验证安装nuclei -version和nuclei -tl列出模板数量。如果模板数只有几十个说明社区模板没装上需要重点解决更新问题。3.2 首次扫描与配置解读让我们用一个最安全的靶场例如http://testphp.vulnweb.com来做第一次扫描。目的是理解输出和基本配置。nuclei -u http://testphp.vulnweb.com -silent-u 指定单个目标URL。-silent 只显示找到的结果不显示横幅和其他信息。在自动化脚本中非常有用。你会看到类似这样的输出[critical] http://testphp.vulnweb.com/ [phpinfo] PHP Info Disclosure [medium] http://testphp.vulnweb.com/artists.php?artist1 [sqli] Blind SQL Injection每一行都包含[严重等级] 目标地址 [模板ID] 漏洞名称。清晰明了。接下来你需要了解几个关键配置目录和文件模板目录~/.local/nuclei-templates/。所有模板按类别cves/,vulnerabilities/,exposures/等存放。没事多逛逛这是你学习的宝库。配置目录~/.config/nuclei/。里面最重要的是config.yaml你可以在这里设置默认的HTTP代理、超时时间、重试次数、自定义Cookie头等。例如给内网扫描统一加上认证头http: - raw: - | GET / HTTP/1.1 Host: {{Hostname}} Authorization: Bearer your_internal_token_here配置好后使用-config .config/nuclei/config.yaml调用。这个阶段的目标是让Nuclei跑起来并能成功更新模板。不要小看这一步稳定的环境是后续一切高级操作的基础。4. 核心技能进阶靶标、模板与输出管理基础扫描只能算“会用”。要成为高手必须掌握如何精准控制扫描过程这涉及三个核心如何选择目标靶标、如何选择武器模板、以及如何记录战果输出。4.1 目标管理从单个URL到海量资产-u参数只适用于单个目标。真实场景的目标往往是一个列表。你需要掌握以下几种输入方式列表文件最常用 将目标URL或IP每行一个存入文件如targets.txt。nuclei -l targets.txt -silent从标准输入读取 可以和其他工具无缝管道衔接这是自动化工作流的精髓。subfinder -d example.com -silent | httpx -silent | nuclei -silent这条命令的意思是用subfinder发现example.com的所有子域名 - 用httpx探测存活的HTTP/HTTPS服务 - 将存活URL管道传递给nuclei进行扫描。一气呵成。网络段/CIDR 直接扫描一个IP段。nuclei -cidr 192.168.1.0/24 -silent实操心得在扫描大型目标列表时务必使用-rate-limit参数限制并发请求数如-rate-limit 50避免对目标业务造成压力。对于关键生产系统务必在授权范围内进行并选择非业务高峰时段。4.2 模板筛选精准打击的艺术运行nuclei -tl会列出所有模板动辄上万。全量扫描不仅慢而且噪音极大。高手必须学会筛选。按严重性筛选-severity critical,high,medium。通常我只关心中高危及以上风险。按类型筛选-tags cve,panel,wordpress。-tags参数非常强大可以按模板标记过滤。例如你想测试一个用WordPress搭建的站点就可以用-tags wordpress。按作者或ID筛选-author geeknik扫描某个安全研究员写的模板或-id CVE-2021-44228专门扫Log4j2。排除特定模板-exclude-tags network,ssl。比如我不想检查SSL证书问题就可以排除ssl标签。模板路径-t /path/to/custom-template.yaml。使用自己编写的或从别处下载的特定模板。一个综合性的命令示例nuclei -l urls.txt -severity high,critical -tags exposure,misconfig -rate-limit 100 -silent这个命令的意思是对urls.txt里的所有目标运行所有标记为exposure信息泄露和misconfig配置错误的、严重性为高和严重的模板并发限制在100。应对特定场景比如面对“nop.gsapk加固安全测试”我们可能不确定具体模板。可以先尝试用通用性强的标签如-tags api,android或者搜索模板库中是否包含gsapk关键词。更主动的做法是分析该加固方案可能影响的组件如特定的Web框架、服务器然后针对这些组件的通用漏洞模板进行扫描。4.3 输出与报告让结果价值最大化默认的输出在终端里不利于归档和分享。Nuclei提供了丰富的输出格式。结构化输出推荐 使用-o result.json -json输出JSON格式或者-o result.jsonl -jsonl输出JSON Lines格式。这种格式可以被其他工具如jq轻松处理也方便导入到漏洞管理平台。nuclei -l targets.txt -json -o results.json # 使用jq快速提取关键信息 cat results.json | jq -r .[] | \(.host) - \(.info.name) - \(.info.severity)Markdown报告-o report.md -markdown。生成一个格式清晰的Markdown文件适合直接写入项目文档。SARIF格式-o results.sarif -sarif。SARIF是一种标准漏洞交换格式可以集成到GitHub Advanced Security或Azure DevOps等CI/CD流水线中。同时输出到文件和屏幕 使用-me输出到文件的同时不加-silent就可以在屏幕也看到实时输出。注意事项JSON输出会包含完整的请求和响应信息可能非常庞大。定期清理旧的扫描结果文件是一个好习惯。另外对于重要的扫描任务我习惯将完整的命令行、时间戳、目标列表和输出文件一起归档便于后续审计和复现。5. 实战工作流构建从发现到扫描的自动化流水线单独使用Nuclei是“点”的突破将其嵌入自动化流水线才是“面”的覆盖。这里我分享一个自己常用的、针对单个主域名的深度侦察与漏洞扫描流水线。这个流程体现了“发现 - 探测 - 扫描”的纵深思想。5.1 资产发现与枚举阶段首先我们需要尽可能全面地找出与目标相关的所有子域名和资产。# 1. 使用多种工具进行子域名枚举结果去重后保存 subfinder -d example.com -silent subdomains.txt assetfinder --subs-only example.com subdomains.txt amass enum -passive -d example.com subdomains.txt # 使用sort和uniq去重 sort -u subdomains.txt -o subdomains.txt # 2. 使用httpx对发现的所有域名进行HTTP/HTTPS存活探测并提取标题和状态码 cat subdomains.txt | httpx -title -status-code -tech-detect -silent -o alive_urls.txthttpx的-tech-detect参数会尝试识别网站技术栈如PHP、Nginx、React这些信息对后续的模板筛选极具价值。5.2 针对性漏洞扫描阶段现在我们有了存活的URL列表alive_urls.txt和技术栈信息。我们可以进行分层扫描第一层快速安全体检高危漏洞和暴露面# 扫描所有存活目标聚焦于高危、严重的漏洞和常见的配置错误、信息泄露 nuclei -l alive_urls.txt -severity critical,high -tags exposure,misconfig,file -rate-limit 150 -silent -o quick_scan.json这个扫描速度较快旨在快速发现最危险的问题。第二层技术栈深度扫描根据httpx输出的技术信息我们可以进行更精准的打击。假设我们发现很多站点用了WordPress和Spring Boot。# 提取使用WordPress的URL (假设我们从tech-detect结果中过滤出了wordpress_urls.txt) nuclei -l wordpress_urls.txt -tags wordpress -severity medium,high,critical -rate-limit 100 -silent -o wp_scan.json # 提取使用Spring Boot的URL nuclei -l springboot_urls.txt -tags springboot -severity medium,high,critical -rate-limit 100 -silent -o spring_scan.json第三层全量CVE扫描在时间充裕或对重点资产进行深度评估时可以运行近期的所有CVE模板。# 使用 -tc 参数指定模板数量避免过多旧模板干扰。这里限制为最近1000个模板。 nuclei -l critical_assets.txt -t cves/ -tc 1000 -severity medium,high,critical -rate-limit 50 -silent -o cve_scan.json5.3 结果聚合与初步分析扫描完成后我们会有多个JSON结果文件。可以使用jq进行聚合和初步分析。# 合并所有JSON结果并按照严重性排序 cat *.json | jq -s add | sort_by(.info.severity) | reverse final_report.json # 统计各类漏洞数量 cat final_report.json | jq -r .[].info.severity | sort | uniq -c # 提取所有Critical级别的漏洞详情 cat final_report.json | jq .[] | select(.info.severity critical) | {host, name: .info.name, severity: .info.severity}将这个流程脚本化你可以将上述命令写成一个Shell脚本如deep_scan.sh只需要输入一个主域名它就能自动完成从枚举到扫描再到报告汇总的全过程。这就是一个初级的安全测试“机器人”。重要提醒此工作流强度很高务必仅在获得明确授权的目标上使用。在生产环境扫描前应在测试环境充分验证。合理设置-rate-limit和-timeout等参数体现安全测试的负责任态度。6. 自定义模板开发打造专属检测能力当社区模板无法满足你的特定需求时比如需要检测公司内部自研系统的特定漏洞或者像“nop.gsapk加固安全测试”这种非常垂直的场景编写自定义模板就成了高手的必经之路。别被YAML吓到它的结构非常直观。6.1 解剖一个简单模板让我们看一个检测网站是否存在phpinfo()信息泄露的模板这是最简单的例子之一id: phpinfo-exposure info: name: PHP Info Exposure author: yourname severity: medium description: Detects the exposure of PHP info page which reveals sensitive configuration details. tags: exposure, php, config requests: - method: GET path: - {{BaseURL}}/phpinfo.php - {{BaseURL}}/info.php - {{BaseURL}}/test.php matchers: - type: word words: - PHP Version - System - Configuration condition: andid: 模板的唯一标识符。info: 模板的元信息包括名称、作者、严重性、描述和标签。requests: 定义要发送的HTTP请求。这里定义了GET方法和三个可能的路径。{{BaseURL}}是一个变量会被实际的目标URL替换。matchers: 定义如何判断漏洞存在。这里是word类型要求响应中同时包含condition: and“PHP Version”、“System”、“Configuration”这三个关键词。6.2 开发一个实战模板检测默认凭据假设我们要检测一个内部监控系统NetData的默认凭据admin/admin。这个模板就稍微复杂一点涉及POST请求和动态提取。id: netdata-default-login info: name: NetData Default Credentials author: yourname severity: high description: Attempts to login to NetData dashboard using default credentials (admin/admin). tags: default-login, netdata, exposure requests: - method: GET path: - {{BaseURL}} matchers-condition: and matchers: - type: word words: - netdata dashboard part: body - method: POST path: - {{BaseURL}}/api/v1/login headers: Content-Type: application/json body: {username: admin, password: admin} matchers: - type: word words: - login successful - \access_token\ condition: or这个模板包含两个请求第一个GET请求访问根路径用matchers检查页面是否包含“netdata dashboard”字样以此确认目标是否是NetData。只有匹配了这个条件才会执行第二个请求。第二个POST请求向登录接口发送默认凭据检查响应中是否包含“login successful”或“access_token”字段来判断登录是否成功。关键技巧使用matchers-condition: and可以设置多个匹配器之间的逻辑关系。这里第一个请求的匹配器是隐式的“与”关系因为只有一个。通过分步请求我们避免了向非NetData系统发送无意义的登录请求提高了扫描的效率和准确性。6.3 调试与验证模板编写好的模板需要测试。Nuclei提供了强大的调试功能。使用-debug模式运行模板时加上-debug和-debug-req会打印出详细的请求和响应信息帮你分析匹配失败的原因。nuclei -t your-template.yaml -u http://test-target.com -debug -debug-req使用-validate验证语法在运行前先验证YAML语法是否正确。nuclei -validate -t your-template.yaml在安全靶场上测试永远先在像http://testphp.vulnweb.com或自己搭建的漏洞测试环境如DVWA、bWAPP上测试模板确认其有效且不会产生误报再用于正式环境。注意事项编写自定义模板时务必注意请求频率和负载。避免编写会发送大量请求或复杂载荷的模板除非必要。在requests中可以使用attack字段配合payloads来实现模糊测试但这属于更高级的用法初期建议从简单的检测逻辑开始。7. 高阶技巧与疑难问题排查即使掌握了以上所有步骤在实际复杂环境中你依然会遇到各种问题。这一章分享我踩过坑后总结的高阶技巧和排查方法。7.1 性能调优与大规模扫描当目标数量上万时扫描可能耗时很长甚至失败。调整并发与超时-rate-limit: 限制每秒请求数。对于外网目标150-300是较安全的范围。内网可以调高。-timeout: 每个请求的超时时间秒默认10。对于慢速网络或复杂请求可以增至30。-retries: 失败重试次数默认1。-bulk-size: 每次从输入列表读取的目标数默认25。对于海量目标可以适当增加如100以减少I/O开销。nuclei -l massive_targets.txt -rate-limit 200 -timeout 20 -bulk-size 100 -c 50 -silent-c 50表示使用50个并行检查的工人worker能进一步提升并发处理能力。模板并发与优化 使用-concurrency和-template-concurrency。前者控制目标并发后者控制每个目标的模板并发。对于少量重点目标可以增加模板并发以加快速度。nuclei -u http://critical.target -concurrency 10 -template-concurrency 5 -silent结果去重与过滤 使用-dup和-dr参数。-dup会基于模板ID、目标和方法对结果进行去重。-drDisable Redirects禁用跟随重定向有时能避免因重定向到登录页而产生的大量无效扫描请求。7.2 常见错误与解决方案问题现象可能原因解决方案无法更新nuclei/template update failed1. 网络连接问题。2. GitHub API限速。3. 本地文件权限问题。1. 检查网络或配置合规的网络代理。2. 使用-github-token参数设置GitHub个人访问令牌以提升限速。3. 检查~/.local/nuclei-templates目录的读写权限。panic: runtime error通常是因为模板语法错误或Nuclei版本与模板不兼容。1. 运行nuclei -validate检查模板。2. 更新Nuclei到最新版nuclei -update。3. 如果问题出现在特定模板尝试暂时禁用或更新该模板。扫描速度极慢或无结果1. 网络延迟高或目标响应慢。2. 使用了大量重型模板如JavaScript解析。3. 未设置合适的超时和重试。1. 增加-timeout减少-rate-limit。2. 使用-tags过滤掉headless、javascript等重型模板或使用-etags排除。3. 使用-stats和-metrics参数查看实时扫描统计定位瓶颈。误报率高1. 模板匹配条件过于宽松。2. 目标存在干扰内容如WAF拦截页面。1. 审查模板的matchers部分尝试使用regex进行更精确的匹配或增加condition: and的匹配项。2. 编写模板时可以增加一个前置请求来验证目标有效性或使用matchers-condition逻辑。内存占用过高同时扫描的目标或加载的模板过多。1. 减少-c和-concurrency的值。2. 使用-tc限制加载的模板数量。3. 分批扫描目标而不是一次性加载整个列表。7.3 集成到CI/CD与协同工作真正的自动化是将安全测试左移集成到开发流程中。GitHub Actions集成 你可以创建一个Action在代码推送或合并请求时用Nuclei扫描预览环境或变更相关的服务。- name: Nuclei Security Scan uses: projectdiscovery/nuclei-actionmain with: target: ${{ env.DEPLOYMENT_URL }} templates: cves/2023, exposures/configs severity: high,critical output: nuclei-results.json扫描结果可以上传为Artifact或者与安全仪表板集成。结果导入漏洞管理平台 将Nuclei的JSON输出通过脚本转换为DefectDojo、Jira或你公司内部平台的格式实现漏洞的闭环管理。团队协作 在团队内部分享有效的自定义模板和扫描配置。可以建立一个内部Git仓库来维护针对公司技术栈的专属模板库使用-t /path/to/internal-templates来加载让团队的安全测试能力持续沉淀和进化。安全测试不是一次性的活动而是一个持续的过程。Nuclei作为一个强大的引擎驱动着这个过程不断向前。从学会运行第一条命令到构建全自动的扫描流水线再到为特定需求编写检测模板每一步都是你安全测试能力的实质性提升。记住工具是冰冷的但人的思维是活跃的。理解原理结合场景灵活运用才是从“会用工具”到“成为高手”的真正桥梁。最后保持对社区模板的更新关注时常运行nuclei -update-templates因为威胁情报的保鲜期可能比你想象的要短。
