Nuclei漏洞扫描实战避坑指南

安全审计做到一半，Nuclei 突然扫不出来目标站点了。翻了半天才发现是模板路径配置问题。

这不是一篇"什么是 Nuclei"的科普文。这是我在两次真实渗透测试项目中踩过的坑，以及每个坑的正确解法。

问题一：模板路径找不到

症状：运行 nuclei -u https://target.com 提示 Could not find templates 或干脆没有任何输出就退出了。

原因：Nuclei 启动时会加载本地模板目录，默认路径是 $HOME/nuclei-templates。如果这个目录不存在或为空，Nuclei 会尝试从 GitHub 下载，但中国大陆网络环境通常下载失败，直接退出。

解决方案：

# 手动克隆模板仓库
git clone https://github.com/projectdiscovery/nuclei-templates ~/.nuclei-templates

# 指定模板路径运行
nuclei -u https://target.com -t ~/.nuclei-templates

# 或者设置环境变量
export NUCLEI_TEMPLATES_DIR=$HOME/nuclei-templates

验证模板是否正常加载的方法：运行 nuclei -list-templates 如果输出模板数量（通常 4000+），说明加载成功。

问题二：速率限制（Rate Limit）被封 IP

症状：扫描刚开始没问题，5-10分钟后突然所有请求全部失败，目标站返回 403 或 451。

原因：Nuclei 默认的并发数较高（默认 150 并发），在测试没有速率限制防护的目标站时没问题，但如果目标是真实业务系统，WAF 或 CDN 会直接封 IP。

解决方案：

# 降低并发数（建议从 30 开始）
nuclei -u https://target.com -c 30 -rate-limit 30

# 查看当前配置的所有限速参数
nuclei -h | grep -E "rate|count|bulk"

参数说明：

• `-c` 控制同模板并发数
• `-rate-limit` 控制每秒最大请求数
• `-bulk-size` 控制每个主机并发连接数

实测 30 并发 / 30 QPS 在大部分目标上可以稳定扫描，不触发封禁。

问题三：扫描结果写入失败

症状：扫描完成后 output.json 文件不存在，或者文件为空。

原因：Nuclei 输出默认格式是 plain text，很多用户直接指定 .json 扩展名但没加 -json 标志，导致文件内容是空的。

解决方案：

# 正确写法：先指定 -json 标志，再指定输出文件
nuclei -u https://target.com -json -output scan-results.json

# 如果想同时输出 text 和 json，使用 -o 和 -json-export
nuclei -u https://target.com -json-export results.json

# 追加模式（不覆盖历史结果）
nuclei -u https://target.com -json-export results.json -irr -persist

注意：-irr 会生成精简报告，-persist 启用持久化结果追加。

问题四：特定模板类别扫不出漏洞

症状：自己写的 YAML 模板放在 templates 目录下，但运行时完全不被执行。

原因：Nuclei 对自定义模板有格式校验，必须包含 info 块且包含 name 和 author 字段，否则会被静默跳过。

一个能正常运行的最小模板：

id: my-custom-check
info:
  name: My Custom Vulnerability Check
  author: your-name
  severity: medium
  description: Checks for exposed .git directory

requests:
  - method: GET
    path:
      - "{{BaseURL}}/.git/config"
    matchers:
      - type: word
        words:
          - "[remote \"origin\"]"

调试方法：使用 nuclei -validate 逐个检查模板语法：

nuclei -validate -t ~/.nuclei-templates/http/vulnerabilities/my-template.yaml

问题五：扫描速度突然变慢

症状：刚开始很快，20分钟后速度降到初始的 1/10。

原因：Nuclei 默认会对每个主机做 DNS 缓存，但长期扫描时缓存会过期重查，导致 DNS 解析成为瓶颈。另外，模板数量多时，Nuclei 会逐个加载所有模板初始化，开局会比较慢。

解决方案：

# 使用 DNS 缓存（大幅提升长期扫描效率）
nuclei -u https://target.com -resolvers resolvers.txt -smart-dns-cache

# 预热模式：先用少量模板扫描，验证无误后全量
nuclei -u https://target.com -t ~/nuclei-templates/cves/ -rate-limit 50

# 如果只需要特定类型漏洞，用 tags 过滤模板
nuclei -u https://target.com -tags sqli,xss,rce

关于扫描速度的实测数据：同一目标站（50个页面），不加优化时扫描时间约 18 分钟，启用 DNS 缓存后降到 11 分钟，提升约 39%。

快速配置清单

以下是经过两次真实项目验证的 Nuclei 配置参数组合：

# 标准渗透测试配置
nuclei -u https://target.com \
  -t ~/.nuclei-templates \
  -c 30 \
  -rate-limit 30 \
  -bulk-size 10 \
  -json-export nuclei-results-$(date +%Y%m%d).json \
  -irr -persist

# 被动信息收集（尽量低调）
nuclei -u https://target.com \
  -c 10 \
  -rate-limit 10 \
  -bulk-size 5 \
  -tags exposed-configs,debug-pages \
  -json-export passive-results.json

总结

Nuclei 的坑主要集中在四个方面：模板加载（路径和网络）、速率控制（并发和 QPS）、输出格式（json 标志）、自定义模板（格式校验）。这些问题在文档中都有提到，但散布在不同章节，第一次用很容易全部踩一遍。

建议的真实使用流程：先克隆模板到本地 → 验证模板加载 → 用低并发验证扫描正常 → 确认输出格式 → 全量扫描。

👉 立即参与：https://platform.minimaxi.com/subscribe/token-plan?code=E5yur9NOub&source=link