1. 为什么选择Nuclei进行漏洞扫描第一次接触Nuclei是在去年的一次内部安全审计中。当时我们需要在短时间内对上百个Web服务进行漏洞检测传统的手动测试方式显然不现实。同事推荐了这款开源工具用他的话说就是像瑞士军刀一样全能。实际使用下来Nuclei确实给我带来了三点惊喜首先是模板化扫描的独特设计。它不像传统扫描器那样使用固定的漏洞检测规则而是通过YAML格式的模板文件来定义检测逻辑。这意味着你可以自己编写检测规则也可以直接使用社区共享的数千个现成模板。我特别喜欢它支持动态参数的特性比如检测SSRF漏洞时模板里可以直接嵌入Interactsh的反连检测域名这种设计既聪明又实用。其次是跨协议支持能力。大多数扫描器只能处理HTTP协议而Nuclei可以同时处理DNS、TCP、File等多种协议。上周我就用它发现了公司内网一个暴露的Redis服务用的就是内置的Redis未授权访问检测模板。这种多协议支持在混合环境扫描时特别有价值。最后是轻量高效的特点。相比动辄几个GB的商业扫描器Nuclei的二进制文件只有20MB左右。但别小看它的性能在我的MacBook Pro上它每秒能完成150个请求的扫描。官方数据显示在AWS c5.2xlarge实例上甚至能达到2000RPS的速度。2. 跨平台安装指南2.1 Windows系统安装在Windows上安装Nuclei就像下载一个绿色软件那么简单。我建议直接从GitHub Releases页面获取预编译的exe文件https://github.com/projectdiscovery/nuclei/releases/latest下载完成后你会得到一个名为nuclei_2.9.0_windows_amd64.zip的压缩包版本号可能会更新。解压后建议将nuclei.exe放到系统PATH包含的目录比如C:\Windows\System32。这样在任何路径下都能直接运行。有个小技巧在PowerShell中运行exe时可能会遇到执行策略限制。这时可以右键点击压缩包选择属性在常规选项卡最下方勾选解除锁定然后点击确定。或者在PowerShell中临时设置执行策略Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass2.2 macOS安装方案对于Mac用户我强烈推荐使用Homebrew安装这是最省心的方式brew install nuclei如果遇到证书问题这在企业网络中很常见可以尝试先更新CA证书brew install ca-certificates我自己的M1芯片MacBook Pro安装时遇到过架构兼容性问题。解决方法是在终端先运行arch -x86_64 zsh然后再执行brew安装命令。安装完成后可以用nuclei -version验证是否成功。2.3 Linux环境部署在Linux服务器上我更喜欢用一键安装脚本curl -sL https://raw.githubusercontent.com/projectdiscovery/nuclei/master/install.sh | sh这个脚本会自动检测系统架构下载合适的二进制文件并设置执行权限。对于生产环境我建议手动下载tar.gz包然后解压到指定目录比如wget https://github.com/projectdiscovery/nuclei/releases/download/v2.9.0/nuclei_2.9.0_linux_amd64.tar.gz tar -xzvf nuclei_2.9.0_linux_amd64.tar.gz sudo mv nuclei /usr/local/bin/记得定期更新Nuclei团队平均每两周就会发布新版本。更新命令很简单nuclei -update3. 首次配置详解3.1 模板安装与管理刚安装好的Nuclei就像没有子弹的枪——需要先加载模板才能工作。运行以下命令安装社区模板nuclei -ut这个命令会从官方仓库下载2000个模板到~/nuclei-templates目录。在企业内网环境你可能需要设置代理export HTTP_PROXYhttp://proxy.example.com:8080 nuclei -ut我习惯每周五下午更新一次模板保持检测能力的最新状态nuclei -ut nuclei -version如果遇到模板验证错误这在自定义模板时很常见可以用-validate参数检查nuclei -validate -t ~/nuclei-templates/cves/3.2 配置文件定制Nuclei的配置文件默认位于~/.config/nuclei/config.yaml这个文件定义了全局行为。我常用的几个关键配置项包括# 限制扫描速度避免触发WAF rate-limit: 50 concurrency: 20 # 自定义输出格式 output: file: /var/log/nuclei/scan-{{timestamp}}.json format: json # 代理设置 proxy-url: http://internal-proxy:3128在企业环境中我建议特别关注retries和timeout参数。对于跨越不同区域的扫描目标合理的超时设置能显著减少误报retries: 3 timeout: 104. 实战扫描演示4.1 单目标快速扫描假设我们要检查一个WordPress站点的常见漏洞可以这样操作nuclei -u https://example.com -t cms/wordpress/这个命令会运行所有WordPress相关的模板。如果想看实时进度加上-stats参数nuclei -u https://example.com -t cms/wordpress/ -stats输出结果默认是彩色的如果要把结果保存到文件可以这样nuclei -u https://example.com -t cms/wordpress/ -o wp_scan_results.txt4.2 批量扫描技巧当需要扫描大量目标时先把URL列表保存到文件targets.txt然后nuclei -l targets.txt -t vulnerabilities/ -o batch_scan.json -json我经常用-severity参数过滤高危漏洞nuclei -l targets.txt -t vulnerabilities/ -severity critical,high -o critical_findings.json对于内网扫描可以结合nmap的结果自动生成目标列表nmap -p 80,443 192.168.1.0/24 -oG - | awk /open/{print http://$2} targets.txt nuclei -l targets.txt -t exposures/ -o internal_scan.csv5. 常见问题排错5.1 证书错误处理在扫描HTTPS站点时经常会遇到证书错误。这时可以添加-skip-tls-validation参数nuclei -u https://example.com -t vulnerabilities/ -skip-tls-validation对于自签名证书我更推荐将CA证书添加到系统信任库或者指定证书文件nuclei -u https://example.com -t vulnerabilities/ -root-ca /path/to/ca.pem5.2 性能优化技巧当扫描大型目标时内存占用可能会飙升。通过以下参数可以控制资源使用nuclei -l targets.txt -rate-limit 30 -concurrency 10 -timeout 10如果发现扫描速度过慢可以尝试关闭反连检测nuclei -u https://example.com -t vulnerabilities/ -ni对于云环境扫描适当调整超时和重试参数能提高成功率nuclei -u https://example.com -timeout 15 -retries 2