Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

wgpsec/k8s-network-recon

Name: k8s-network-recon
Author: wgpsec

skills/cloud/k8s-network-recon/SKILL.md

npx skillsauth add wgpsec/AboutSecurity k8s-network-recon

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

→ 读 references/network-attacks.md

Kubernetes 集群内网络侦察

在 K8s 集群中横向移动的第一步是弄清楚还有哪些服务在运行。因为 K8s 用 DNS 做服务发现，每个 Service 和 Pod 都有可预测的 DNS 名称，这意味着通过 DNS 反查就能系统性地枚举整个集群。

K8s DNS 命名规则

| 资源类型 | DNS 格式 | 示例 | |---------|---------|------| | Service | <svc>.<ns>.svc.cluster.local | redis.default.svc.cluster.local | | Pod | <pod-ip-dashed>.<ns>.pod.cluster.local | 10-244-0-5.default.pod.cluster.local | | Headless Service | <pod-name>.<svc>.<ns>.svc.cluster.local | web-0.nginx.default.svc.cluster.local |

注意: DNS 后缀不一定是 cluster.local，由集群配置决定。检查 /etc/resolv.conf 中的 search 行。

SRV 记录

Service 的 SRV 记录暴露端口信息：

nslookup -type=srv <service>.<namespace>.svc.cluster.local
# 输出示例: service = 0 50 80 svc.ns.svc.cluster.local
# 即使没有 _proto 前缀，也能查到所有有效端口

Phase 1: 确定扫描范围

DNS PTR 反查是逐 IP 的——/16 范围有 65535 个 IP，盲扫可能需要几十分钟。先花 30 秒确定 Service CIDR，能把扫描时间从分钟级降到秒级。

先获取入口点信息（按可靠度从高到低）

# 1. 环境变量（最快，几乎必有）
echo $KUBERNETES_SERVICE_HOST
env | grep -i service_host

# 2. DNS 配置（nameserver 地址通常在 Service CIDR 内）
cat /etc/resolv.conf

# 3. DNS 查询（返回的 API Server IP 暴露 CIDR 段）
nslookup kubernetes.default.svc.cluster.local

# 4. 路由表/ARP（辅助推断）
cat /etc/hosts && ip route && arp -a 2>/dev/null

# 5. 避免用 ip addr — sidecar 注入的虚拟网卡会干扰判断

从获取到的 IP 推断 Service CIDR。

子网范围选择策略

⚠️ 禁止用 /8 或更大范围 — 16M+ IP 永远扫不完，会浪费整轮时间。

推荐扫描粒度：

先用上面获取的 KUBERNETES_SERVICE_HOST 确定 Service CIDR
从 /24 开始（256 IP，秒级完成），无结果则扩到 /16（65K IP，分钟级）
常见 Service CIDR：10.96.0.0/16、10.100.0.0/16、10.43.0.0/16（K3s）
如果 KUBERNETES_SERVICE_HOST 是 10.96.0.1，扫 10.96.0.0/16

Phase 2: DNS 批量扫描

使用 K8Spider（推荐）

# PTR 反查 + SRV 记录 + 多线程，一条命令完成全部扫描
k8spider scan -subnet 10.100.0.0/24

# 更大的范围
k8spider scan -subnet 10.96.0.0/12    # 默认 Service CIDR
k8spider scan -subnet 10.244.0.0/16   # Pod CIDR (Flannel 默认)
k8spider scan -subnet 10.42.0.0/16    # Pod CIDR (K3s 默认)

备选: 部分 CTF 环境预装了 dnscan（用法: dnscan -subnet <cidr>），功能类似但不支持 SRV 记录枚举。优先用 K8Spider。

无工具时的手动方法

# PTR 反查 (逐个 IP)
for i in $(seq 1 254); do
  nslookup 10.100.0.$i 2>/dev/null | grep -v "NXDOMAIN" | grep "name =" &
done; wait

# AXFR 域传输（如果 CoreDNS 允许）
dig axfr cluster.local @$(grep nameserver /etc/resolv.conf | awk '{print $2}')

# Wildcard DNS（已被新版 CoreDNS 废弃，但老版本可能有效）
nslookup any.any.svc.cluster.local

Phase 3: 服务利用

发现服务后，按攻击价值优先级排序：

直接 flag/数据服务（名称含 flag、secret、internal）→ 立即 curl 访问
集群管控面（API Server 6443、etcd 2379、kubelet 10250）→ 未授权访问 = 集群接管
策略/Webhook 服务（kyverno-svc、gatekeeper）→ 可提取注入的 Secret
监控/运维（prometheus 9090、grafana 3000、dashboard 8443）→ 信息泄露 + 凭据
业务服务（其他自定义服务）→ 根据名称和端口判断

# 访问发现的服务
curl <service>.<namespace>.svc.cluster.local
curl <service>.<namespace>.svc.cluster.local:<port>

# 对高价值目标尝试多个路径
curl -s http://<svc>:<port>/
curl -s http://<svc>:<port>/flag
curl -s http://<svc>:<port>/api/v1
curl -sk https://<svc>:<port>/

工具速查

| 工具 | 用途 | 安装 | |------|------|------| | K8Spider | K8s DNS 批量扫描（PTR+SRV+AXFR+多线程） | go install github.com/Esonhugh/k8spider@latest | | nslookup/dig | 手动 DNS 查询 | 系统自带 | | CDK | 容器渗透工具集（含服务发现） | f8x 安装 |

wgpsec/k8s-network-recon

skills/cloud/k8s-network-recon/SKILL.md

Kubernetes 集群内网络侦察与服务发现。当已获得 Pod Shell、需要发现集群内其他服务、执行 K8s 内网扫描时使用。覆盖 DNS PTR 反查、SRV 记录枚举、AXFR 域传输、K8Spider 使用。任何在 Pod 中需要横向侦察、寻找隐藏服务、确定攻击目标的场景都应使用此技能，即使用户没有明确提到 DNS

1,185 stars

devops

Updated Apr 24, 2026

$ install --global

skillsauth

npx skillsauth add wgpsec/AboutSecurity k8s-network-recon

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 24, 2026, 5:31 AM12.3s2 files scanned

SKILL.md

name:: k8s-network-recon
description:: Kubernetes 集群内网络侦察与服务发现。当已获得 Pod Shell、需要发现集群内其他服务、执行 K8s 内网扫描时使用。覆盖 DNS PTR 反查、SRV 记录枚举、AXFR 域传输、K8Spider 使用。任何在 Pod 中需要横向侦察、寻找隐藏服务、确定攻击目标的场景都应使用此技能，即使用户没有明确提到 DNS
tags:: k8s,kubernetes,dns,recon,service-discovery,k8spider,cluster,内网侦察,服务发现
category:: cloud

→ 读 references/network-attacks.md

Kubernetes 集群内网络侦察

K8s DNS 命名规则

注意: DNS 后缀不一定是 cluster.local，由集群配置决定。检查 /etc/resolv.conf 中的 search 行。

SRV 记录

Service 的 SRV 记录暴露端口信息：

nslookup -type=srv <service>.<namespace>.svc.cluster.local
# 输出示例: service = 0 50 80 svc.ns.svc.cluster.local
# 即使没有 _proto 前缀，也能查到所有有效端口

Phase 1: 确定扫描范围

DNS PTR 反查是逐 IP 的——/16 范围有 65535 个 IP，盲扫可能需要几十分钟。先花 30 秒确定 Service CIDR，能把扫描时间从分钟级降到秒级。

先获取入口点信息（按可靠度从高到低）

# 1. 环境变量（最快，几乎必有）
echo $KUBERNETES_SERVICE_HOST
env | grep -i service_host

# 2. DNS 配置（nameserver 地址通常在 Service CIDR 内）
cat /etc/resolv.conf

# 3. DNS 查询（返回的 API Server IP 暴露 CIDR 段）
nslookup kubernetes.default.svc.cluster.local

# 4. 路由表/ARP（辅助推断）
cat /etc/hosts && ip route && arp -a 2>/dev/null

# 5. 避免用 ip addr — sidecar 注入的虚拟网卡会干扰判断

从获取到的 IP 推断 Service CIDR。

子网范围选择策略

⚠️ 禁止用 /8 或更大范围 — 16M+ IP 永远扫不完，会浪费整轮时间。

推荐扫描粒度：

先用上面获取的 KUBERNETES_SERVICE_HOST 确定 Service CIDR
从 /24 开始（256 IP，秒级完成），无结果则扩到 /16（65K IP，分钟级）
常见 Service CIDR：10.96.0.0/16、10.100.0.0/16、10.43.0.0/16（K3s）
如果 KUBERNETES_SERVICE_HOST 是 10.96.0.1，扫 10.96.0.0/16

Phase 2: DNS 批量扫描

使用 K8Spider（推荐）

# PTR 反查 + SRV 记录 + 多线程，一条命令完成全部扫描
k8spider scan -subnet 10.100.0.0/24

# 更大的范围
k8spider scan -subnet 10.96.0.0/12    # 默认 Service CIDR
k8spider scan -subnet 10.244.0.0/16   # Pod CIDR (Flannel 默认)
k8spider scan -subnet 10.42.0.0/16    # Pod CIDR (K3s 默认)

备选: 部分 CTF 环境预装了 dnscan（用法: dnscan -subnet <cidr>），功能类似但不支持 SRV 记录枚举。优先用 K8Spider。

无工具时的手动方法

# PTR 反查 (逐个 IP)
for i in $(seq 1 254); do
  nslookup 10.100.0.$i 2>/dev/null | grep -v "NXDOMAIN" | grep "name =" &
done; wait

# AXFR 域传输（如果 CoreDNS 允许）
dig axfr cluster.local @$(grep nameserver /etc/resolv.conf | awk '{print $2}')

# Wildcard DNS（已被新版 CoreDNS 废弃，但老版本可能有效）
nslookup any.any.svc.cluster.local

Phase 3: 服务利用

发现服务后，按攻击价值优先级排序：

直接 flag/数据服务（名称含 flag、secret、internal）→ 立即 curl 访问
集群管控面（API Server 6443、etcd 2379、kubelet 10250）→ 未授权访问 = 集群接管
策略/Webhook 服务（kyverno-svc、gatekeeper）→ 可提取注入的 Secret
监控/运维（prometheus 9090、grafana 3000、dashboard 8443）→ 信息泄露 + 凭据
业务服务（其他自定义服务）→ 根据名称和端口判断

# 访问发现的服务
curl <service>.<namespace>.svc.cluster.local
curl <service>.<namespace>.svc.cluster.local:<port>

# 对高价值目标尝试多个路径
curl -s http://<svc>:<port>/
curl -s http://<svc>:<port>/flag
curl -s http://<svc>:<port>/api/v1
curl -sk https://<svc>:<port>/

工具速查

Related Skills

wgpsec/azure-pentesting

testing

VerifiedTrustedCommunity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

1,393SKILL.mdUpdated Apr 24, 2026

wgpsec/azure-pentesting

wgpsec/mythic-c2

tools

VerifiedTrustedCommunity

Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务，或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

development

VerifiedTrustedCommunity

Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

development

VerifiedTrustedCommunity

使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文，适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能

1,345SKILL.mdUpdated May 6, 2026

wgpsec/padbuster-padding-oracle

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/wgpsec/AboutSecurity.git

# Copy into Claude Code skills folder (global)
cp -r AboutSecurity/skills/cloud/k8s-network-recon ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

wgpsec/AboutSecurity

1,185 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT

Adoption

wgpsec/k8s-network-recon

$ install --global

Security Scan Results

SKILL.md

Kubernetes 集群内网络侦察

K8s DNS 命名规则

SRV 记录

Phase 1: 确定扫描范围

子网范围选择策略

Phase 2: DNS 批量扫描

使用 K8Spider（推荐）

无工具时的手动方法

Phase 3: 服务利用

相关技能

工具速查

Related Skills

wgpsec/azure-pentesting

wgpsec/mythic-c2

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

wgpsec/k8s-network-recon

$ install --global

Security Scan Results

SKILL.md

Kubernetes 集群内网络侦察

K8s DNS 命名规则

SRV 记录

Phase 1: 确定扫描范围

子网范围选择策略

Phase 2: DNS 批量扫描

使用 K8Spider（推荐）

无工具时的手动方法

Phase 3: 服务利用

相关技能

工具速查

Related Skills

wgpsec/azure-pentesting

wgpsec/mythic-c2

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle