基础扫描

# 扫描单个目标
nuclei -u https://example.com

# 扫描多个目标(文件列表)
nuclei -l targets.txt

目标指定

参数说明
-u, -target单个目标 URL / 主机
-l, -list目标列表文件(一行一个)
-sa, -scan-all-ips扫描域名解析出的所有 IP

模板选择

# 指定单个模板或目录
nuclei -u https://example.com -t cves/ -t exposures/

# 仅运行新添加的模板
nuclei -u https://example.com -nt

# 列出所有可用模板
nuclei -tl
参数说明
-t, -templates指定模板文件或目录
-nt, -new-templates仅使用最新添加的模板
-w, -workflows指定工作流文件或目录
-tl列出所有已安装模板

模板过滤

# 按严重程度扫描
nuclei -u https://example.com -s critical,high

# 按标签扫描
nuclei -u https://example.com -tags cve,oast

# 按作者/ID 扫描
nuclei -u https://example.com -author pdteam -id CVE-2024-XXXX
参数说明
-s, -severity按严重等级(info, low, medium, high, critical)
-tags按标签包含
-etags, -exclude-tags按标签排除
-id, -template-id按模板 ID 运行
-eid, -exclude-id按模板 ID 排除
-a, -author按作者筛选

输出控制

# 简洁输出
nuclei -u https://example.com -silent

# JSONL 格式输出
nuclei -u https://example.com -jsonl -o results.jsonl

# Markdown 报告导出
nuclei -u https://example.com -markdown-export ./report/
参数说明
-o, -output输出结果到文件
-silent仅显示发现的漏洞
-j, -jsonlJSONL 格式输出
-je, -json-export导出为 JSON 文件
-me, -markdown-export导出 Markdown 报告
-nc, -no-color禁用颜色输出
-ts, -timestamp显示时间戳

速率与并发

# 限速每秒 50 请求,并发 10 模板
nuclei -l targets.txt -rl 50 -c 10
参数说明
-rl, -rate-limit每秒最大请求数(默认 150)
-c, -concurrency最大并行模板数(默认 25)
-bs, -bulk-size每个模板最大并行主机数(默认 25)
-timeout请求超时(秒,默认 10)
-retries失败重试次数(默认 1)

代理与调试

# 使用 HTTP 代理
nuclei -u https://example.com -p http://127.0.0.1:8080

# 调试模式(显示所有请求/响应)
nuclei -u https://example.com -debug
参数说明
-p, -proxy代理地址(支持 http/socks5)
-debug显示请求与响应详情
-dreq, -debug-req仅显示请求
-dresp, -debug-resp仅显示响应
-v, -verbose详细输出

其他实用参数

# 被动模式(处理本地 HTTP 响应)
nuclei -passive -u https://example.com

# 扫描时追踪统计信息
nuclei -l targets.txt -stats -si 10

# 使用 interactsh 检测 OOB 漏洞
nuclei -u https://example.com -t oob_templates/
参数说明
-passive被动扫描模式(不主动发起请求)
-stats显示扫描进度统计
-si, -stats-interval统计刷新间隔(秒)
-ni, -no-interactsh禁用 OOB 反连检测

更新模板库

# 更新至最新模板
nuclei -ut