nuclei-快速漏洞扫描器【安装&使用详解】

于 2024-08-06 22:52:45 发布
阅读量1.3k 收藏 12
点赞数 26
分类专栏: 跟我学网安知识 文章标签: 网络安全 漏洞扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuqixiufen2/article/details/140968050
版权

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

1、nuclei介绍

Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发,具有很强的可配置性、可扩展性和易用性。提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,可以使用 Nuclei模拟各种安全检查。

项目目前是持续更新中,安装比较简单,一些流程比较单的漏洞会直接提供payload,是我自己比较喜欢的一个工具。

文档默认语言是英文,支持多国语言,也有中文。

项目地址:https://github.com/projectdiscovery/nuclei
Nuclei模板:https://github.com/projectdiscovery/nuclei-templates

2、环境准备

基础环境是kali linux ,ip: 192.168.242.4

如果没有kali系统虚拟机,可关注公众号:大象只为你,后台回复:【虚拟机】获取。

nuclei的安装使用需要go,go版本要求1.21 或更高版本,所以需要先安装go。

2.1、安装go

在kali linux系统下安装会比较简单,使用apt-get命令,安装完成就可使用,不需要再设置环境变量等,安装命令如下:

# 切换到root角色
sudo su
# 更新资源
apt-get update
# 安装golang
apt-get install golang-go
# 查看安装版本
go version

在这里插入图片描述

3、安装nuclei

安装nuclei官方有提供3个方式:go install,Brew和Docker。我首次安装按官方给的命令go install安装失败了,我结合之前afrog安装的经验,按以下步骤安装成功了。

第一步:克隆源码到kali机上,第二步:源码编译,就可以使用了。

如果想再简单一点,可以到releases下载windows或macOs编译好的版本。

安装编译命令如下:

# 切换到工具集目录,目的是方便归类
cd tools
# 克隆源码到kali机
git clone https://github.com/projectdiscovery/nuclei.git
# 切换目录到nuclei
cd nuclei
# 源码编译:指定执行文件名:nuclei
go build -o nuclei cmd/nuclei/main.go
# 查看版本号验证命令是否可正常使用
./nuclei -v
# 更多命令使用参数-h查看
./nuclei -h

在这里插入图片描述

4、使用说明

使用命令可用 ./nuclei -h 来查看,这里只列出2个命令:单个目标和多个目标的扫描,结合在线靶场使用。

更多用法请参考官方文档-用法:https://github.com/projectdiscovery/nuclei/blob/main/README_CN.md

扫描时,如果没有特别指定,就是使用内置所有的模板进行扫描。

在线靶场:https://vulfocus.cn/,选择场景:Strust2

注意:在线靶场里面的漏洞编号与nuclei-templates定义是不太一样的,测试过程发现的,具体以nuclei扫描出来的编号为准。

4.1、使用命令

扫描单个目标:

./nuclei -u http://example.com

扫描多个目标:

./nuclei -list urls.txt

urls.txt内容格式如下:【一行一个url】

https://test1.com
http://test2.com
4.2、扫描单个目标示例

在线靶场先筛选框架:Strust2, 选择编号:CVE-2020-17530,启动靶场。

执行命令结果如下:

在这里插入图片描述

以该示例扫描出来的xss-fuzz提供的payload,拿到浏览器去验证可用。

在这里插入图片描述

另一个漏洞编号:CVE-2021-31805就跟在线靶场的编号不一样,以扫描结果的为准。我拿漏洞编号到百度去搜索漏洞复现,找到github提供一个python脚本和复现步骤说明。

漏洞复现地址:https://github.com/Axx8/Struts2_S2-062_CVE-2021-31805

我跟着步骤验证,只截图前面3个,反弹shell步骤比较多就没截图,感兴趣可以自己跟着步骤操作。

在这里插入图片描述

4.3、扫描多个目标示例

在线靶场先筛选框架:Strust2, 选择2个不同的场景,启动靶场。

在nuclei执行目录下添加一个文本urls.txt,把url按上面格式添加。

执行命令结果如下:

在这里插入图片描述

5、学习资料推荐&我的公众号

在b站有【小迪安全】自己公开2022年的录播课程,感兴趣的可以去看,当然最新的课程只能去报他的直播课了。

地址是:https://www.bilibili.com/video/BV1pQ4y1s7kH/

我有一些学习笔记就是看完他的视频,自己实践操作后整理出来的。

敬请关注我的公众号:大象只为你,持续更新网安相关知识中…

大象只为你
关注
专栏目录
nuclei全面使用教程【工具篇】
大河之犬的博客
12-28 2万+
Nuclei 是一种可快速利用的漏洞扫描程序,旨在探测现代应用程序、基础设施、云平台和网络,帮助识别和缓解漏洞。Nuclei 的核心是利用模板(表示为简单的 YAML 文件)来描述检测、排名和解决特定安全漏洞的方法。每个模板都描述了可能的攻击路线,详细说明了漏洞、其严重性、优先级以及偶尔出现的相关漏洞。这种以模板为中心的方法确保 Nuclei 不仅可以识别潜在威胁,还可以精确定位具有切实现实影响的可利用漏洞。
nuclei 漏洞扫描工具
05-06
nuclei 漏洞扫描工具
POC检测工具-nuclei(四)
siu~
07-28 5338
nuclei是一款基于简单的 YAML DSL 的快速且可定制的漏洞扫描
nuclei在linux上安装
YX_zjp的博客
04-30 413
kali上没有安装nuclei,输入nucleinuclei -version,系统会自动安装。但安装过程中出现了错误,根据提示,先apt-get update,再安装nuclei就成功啦。
nuclei安装;linux上 以及使用教程
hellodaoyan的博客
01-20 1628
然但是上面两个我似乎都没用到网上的教程 也不适用 一个网不好 一个apt没找到包然后我先试试了版本 结果 我的kali自动给我安装上了。
nuclei:Nuclei是基于模板的可配置目标漏洞扫描快速工具,具有大量可扩展性和易用性
03-19
基于简单的基于YAML的DSL的快速且可自定义的漏洞扫描程序。 ••••••• Nuclei用于基于模板发送跨目标的请求,从而导致零误报并提供对大量主机的快速扫描。 Nuclei提供扫描各种协议的功能,包括TCP,DNS,HTTP,文件等。借助强大灵活的模板,可以使用Nuclei对各种安全检查进行建模。 我们有一个,其中包含由100多名安全研究人员和工程师提供的各种类型的漏洞模板。它使用-update-templates标志预加载了可以使用的模板。 怎么运行的 安装Nuclei :play_button: GO111MODULE=on go get -v github.com/projectdiscovery/nuclei/v2/cmd/nuclei 更多的安装。 下载范本 您可以使用以下命令下载和更新原子核模板更新模板核的标志,可从下载所有可用的核模板, 是社区策划的准备使用的模板列表。 :play_button: nucle
打造全自动漏洞赏金扫描工具
渗透测试研究中心
08-25 2759
打造全自动漏洞赏金扫描工具
Nuclei——一款基于YAML语法模板的快速漏洞扫描工具
热门推荐
asaotomo的博客
01-09 4万+
Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描。它使用Go语言开发,具有很强的可配置性、可扩展性和易用性。
Nuclei漏洞扫描工具
xiaoheizi的博客
07-28 5715
提供 TCP、DNS、HTTP、FILE 等各类协议的扫描,通过强大且灵活的模板,可以使用 Nuclei 模拟各种安全检查。要检测的漏洞是CVE-2023-0126,所以进入模板目录nuclei-templates-9.5.8\http\cves\2023找到CVE-2023-0126.yaml。输入:nuclei.exe -l 2022_30525.txt -tags sonicwall。命令讲解:-l 指定目标txt文件 -tags 指定要使用的模板标签。输入:nuclei -u 目标地址。
Nuclei:基于YAML语法快速漏洞扫描安装指南
Sgirll的博客
12-12 1903
Nuclei 是一款备受赞誉的开源框架,Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描,它提供了强大的功能和灵活性,可以帮助您发现和识别各种 Web 漏洞。通过按照本文提供的安装指南,您可以轻松地安装和配置 Nuclei,并开始利用其功能来提升网络安全。但请记住,在使用 Nuclei 进行漏洞扫描时,请遵循适用法律和道德准则,并仅对经授权的目标进行测试。您可以从官方网站 (https://golang.org/) 下载适合您操作系统的最新版本的 Go,并按照官方指南进行安装
Nuclei是基于模板的可配置目标扫描的快速工具,具有广泛的可扩展性和易用性。-Golang开发
05-26
Nuclei是基于模板的可配置目标扫描的快速工具,具有广泛的可扩展性和易用性。 Nuclei是基于模板的可配置目标扫描的快速工具,具有广泛的可扩展性和易用性。 Nuclei用于基于模板发送跨目标的请求,导致零误报并提供对已知路径的有效扫描。 核的主要用例是在初始侦查阶段,以快速检查已知且易于检测的目标之间的悬垂果实或CVE。 它使用可重试的http-go库来处理各种
Nuclei RISC-V Linux Softwar,nuclei-linux-sdk-dev-nuclei-next.zip
最新发布
08-19
Nuclei RISC-V Linux Softwar,nuclei-linux-sdk-dev_nuclei_next.zip
nuclei-3.0.1-windows-amd64
06-05
Nuclei是一款快速、可配置的、基于模板的安全扫描工具,主要用于网络扫描和渗透测试,以检测目标系统中的已知漏洞。它是由安全研究人员开发的,旨在提供一种轻量级、高效且易于使用的解决方案,帮助安全专家识别和...
工具分享Nuclei nuclei-3.2.9-windows-386.zip
07-01
【工具分享】Nuclei nuclei_3.2.9_windows_386.zip
Overlapping-Cell-Nuclei-Segmentation-using-DBN-matlab源码
03-02
资源名:Overlapping-Cell-Nuclei-Segmentation-using-DBN-matlab源码 资源类型:matlab项目全套源码 源码说明: 全部项目源码都是经过测试校正后百分百成功运行的,如果您下载后不能运行可联系我进行指导或者更换。...
【工具分享】Nuclei——基于模板的漏洞验证
LongL_GuYu的博客
06-29 999
Nuclei 是一款注重于可配置性、可扩展性和易用性的基于模板的快速漏洞验证工具。它使用 Go 语言开发,具有强大的可配置性、可扩展性,并且易于使用
windows 下安装Nuclei 详细教程
天泽岁月
06-18 1590
windows 下安装Nuclei 详细教程
nuclei工具的安装
weixin_48421613的博客
08-23 9430
nuclei工具的安装
nuclei怎么下载nuclei-templates
05-19
要下载nuclei-templates,您可以直接访问**nuclei-templates的GitHub仓库页面**。具体步骤如下: 1. 打开浏览,进入nuclei-templates的GitHub仓库地址:https://github.com/projectdiscovery/nuclei-templates。 2. 在仓库页面上,您可以找到所需的模板文件,通常以.yaml格式存在。 3. 点击您需要的模板文件,然后选择“Raw”按钮,这将打开一个只包含该文件内容的新标签页。 4. 在新标签页中右键点击并选择“Save As…”或“另存为…”,将文件保存到您的本地计算机上。 此外,如果您已经安装Nuclei工具,可以使用内置的自动下载和更新模板的功能。自v2.5.2版本起,Nuclei提供了`update-templates`命令来更新模板。您只需在命令行中运行`nuclei update-templates`即可下载最新的模板到您的本地Nuclei模板目录中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值