droopescan 不能直接扫描 php 代码漏洞,它仅支持 Drupal、Joomla、wordPress 等 cms 的版本漏洞与配置风险检测,不解析 PHP 源码,也不做代码审计或动态污点分析。
droopescan 能不能直接扫 PHP 代码漏洞
不能。droopescan 不是 PHP 漏洞扫描器,它只针对 Drupal、Joomla、wordpress、SilverStripe 等 CMS 的已知版本漏洞和配置风险,比如 Drupal 7.58 的 sql 注入(CVE-2018-7600)、wp-config.php 文件泄露、默认插件路径可访问等。它不解析 PHP 源码,也不做代码审计或动态污点追踪——所以你拿它去扫自己写的 PHP 脚本、laravel 控制器或 thinkphp 模板,结果只会是“未识别 CMS”或空响应。
在 Kali 中正确运行 droopescan 扫描 Drupal 站点
前提是目标站点确实是 Drupal,且 droopescan 能识别其版本。常见失败原因不是工具问题,而是环境或用法偏差:
-
droopescan默认使用 python 2,Kali 2023+ 默认无 Python 2;需先装python2和pip2,再用pip2 install droopescan - 扫描时必须加
--cms drupal(不加会自动探测,但易误判);例如:droopescan scan drupal -u https://example.com/ --enumerate u(枚举用户) - 若返回
"No CMS detected",先手工确认是否真为 Drupal:查/core/RELEASE.txt、/CHANGELOG.txt或响应头中的X-Generator: Drupal - 部分 CDN 或 WAF 会拦截 droopescan 的默认 User-Agent(
droopescan/1.0),可加--user-agent "Mozilla/5.0"绕过
想挖 PHP 应用本身的漏洞,该换什么工具
PHP 漏洞挖掘分两类场景,对应不同工具链:
- 黑盒扫描(无源码):用
nikto查目录遍历、sqlmap测注入点、ffuf暴力猜phpinfo.php或备份文件(*.php.bak)、gau+qsreplace配合dalfox扫 xss - 白盒审计(有源码):用
php -l检语法错误、grep -r "$_GET|$_POST|$_REQUEST" .快速定位危险变量、phpstan或psalm做静态类型检查,真正深度审计还得靠人工看逻辑(比如反序列化入口、unserialize()调用链、eval()拼接) - 注意:
php -m | grep curl看扩展是否启用,有些漏洞(如 SSRF)依赖cURL或file_get_contents开关,工具扫不到但代码里写死了就可能触发
droopescan 报 “Connection refused” 或超时的典型原因
这不是漏洞没扫到,而是网络层或目标防护已生效:
立即学习“PHP免费学习笔记(深入)”;
- 目标关闭了 80/443,或只响应特定 Host 头——用
-H "Host: example.com"强制指定 - droopescan 默认并发 5,某些小站会主动断连;加
--threads 1降速,或加--timeout 30延长单请求等待时间 - Kali 主机 DNS 解析失败(尤其扫内网或 hosts 绑定域名时),先跑
ping -c1 example.com和nslookup example.com确认通路 - 目标用了 Cloudflare 等代理,
droopescan无法绕过 js 挑战,此时应先用whatweb或浏览器开发者工具确认真实 IP 是否暴露
实际挖洞时,CMS 扫描只是第一步。Drupal 版本号对上了,不代表漏洞能利用;PHP 代码里一个 system($_GET['cmd']) 比所有 CMS CVE 都直接——关键还是得看请求进来的数据流怎么被处理。