Kali用Joomscan挖PHP漏洞技巧

joomscan仅适用于Joomla CMS，不能扫描通用PHP漏洞；它依赖Joomla特有路径、文件和函数，不解析PHP代码逻辑，也不支持WordPress等其他PHP站点。

别用 joomscan 挖 PHP 漏洞 —— 它只针对 Joomla，不是通用 PHP 漏洞扫描器。

为什么 joomscan 和“PHP 漏洞”根本不是一回事

joomscan 是专为 Joomla CMS 设计的指纹识别与漏洞探测工具，底层依赖 Joomla 特定的路径（如 /administrator/manifests/files/joomla.xml）、扩展名（.xml 清单文件）、核心函数（JFactory::getApplication()）和已知 Joomla 插件/模板的 CVE 列表。它不会解析 PHP 代码逻辑、不检测 SQLi/XSS/反序列化等通用 PHP 层漏洞，也不支持对非 Joomla 的 PHP 站点（比如自写 PHP、WordPress、ThinkPHP、Laravel）做有效扫描。

常见误操作包括：对一个 index.php 页面直接跑 joomscan -u http://target.com/index.php，结果返回 [!] Target is not a Joomla! site 后就放弃 —— 这不是工具问题，是目标类型错配。

真正该用什么工具挖 PHP 站点的漏洞

根据目标形态选工具，不是硬套 joomscan：

• 如果是 Joomla 站点：用 joomscan 或更新的 joomlavs（支持 Joomla 4.x），配合手动验证 /administrator/ 登录页、/plugins/ 目录遍历、已知 CVE 如 CVE-2015-8562（RCE）或 CVE-2018-8045（SQLi）
• 如果是通用 PHP 站点（无明确 CMS）：优先用 gau + gf 提取参数，再喂给 dalfox（XSS）、sqlmap（SQLi）、ffuf（路径爆破）；例如：echo "http://target.com/" | gau | grep "?" | gf xss | dalfox pipe
• 如果怀疑存在 PHP 反序列化：抓包看是否含 unserialize(、__wakeup、phar://，用 phpggc 生成 payload，配合 curl 手动触发
• 想快速看 PHP 配置风险：访问 /phpinfo.php 或常见泄露路径（/info.php, /test.php），检查 display_errors=On、allow_url_include=On、expose_php=On

joomscan 实际使用中三个高频翻车点

就算确认是 Joomla 站，joomscan 也容易因配置不当漏报或卡死：

• --random-agent 必须加，否则很多 Joomla 站（尤其启用了 Cloudflare 或 mod_security）会直接 403；不加这个参数时 joomscan 默认用固定 UA，极易被 WAF 拦
• 别依赖默认线程（-t 10），Joomla 后台常有登录锁机制，高并发扫 /administrator/index.php 会触发 IP 封禁；建议先 -t 1 测通路，再逐步加到 -t 3
• 插件扫描（-e）默认只查 top 10，但真实环境中关键漏洞常在冷门插件里（如 com_jce, com_fabrik）；得手动加 -e com_jce,com_fabrik 指定扩展名，否则 CVE-2013-7091（JCE 文件上传）这种高危项直接跳过

真正的难点不在工具命令怎么敲，而在于判断「这到底是不是 Joomla」——看 HTTP 响应头有没有 X-Powered-By: Joomla，源码里搜 jQuery.noConflict(); 后面是否跟 Joomla 字符串，或者用 whatweb 先做指纹：whatweb -v http://target.com。没确认 CMS 类型就开扫，等于蒙眼打靶。