从一次真实的渗透测试说起我是如何利用默认口令“横扫”客户内网的含防御复盘那是一个再普通不过的周三下午客户发来的渗透测试授权书还带着打印机的余温。这家制造业企业的IT负责人反复强调“我们刚做完等保测评防火墙规则都是最新版。”但经验告诉我最坚固的堡垒往往从内部被攻破——而默认凭证就是那把被遗忘在门锁上的钥匙。1. 信息收集从蛛丝马迹到攻击面测绘客户提供的测试范围只有两个公网IP但Shodan扫描显示其NAT背后藏着更多故事。通过特征端口比对和HTTP头指纹识别不到20分钟就绘制出完整的暴露面清单系统类型版本标识开放端口可疑路径Grafana9.2.1企业版3000/login泛微OAe-office v10.08080/webroot/decisionShowDoc2.8.34999/install/index.php视频监控系统大华DSS v5.037777/doc/page/login.asp提示现代资产测绘工具如FOFA已经能自动关联设备型号与常见漏洞但手动验证仍是必要步骤这些系统看似毫无关联但三个细节引起了我的注意所有服务均使用默认欢迎页面登录表单未启用验证码机制HTTP响应头中均未出现WAF标识2. 突破口选择当默认凭证成为通杀密钥从风险收益比角度考虑我首先测试了Grafana的管理接口。在9.x版本中以下组合值得优先尝试# 常用凭证测试脚本片段 for cred in (admin:admin,grafana:grafana,supervisor:supervisor); do curl -s -o /dev/null -w %{http_code} http://$target:3000/login -d user${cred%:*}password${cred#*:} done令人惊讶的是admin/admin组合直接返回了302跳转。登录后通过Data Sources界面顺利获取到MySQL数据库的连接信息——这里存储着泛微OA的所有用户凭证哈希。横向渗透关键路径Grafana → 数据库凭据 → OA系统用户表OA后台 → VPN配置页面 → 内网拓扑图拓扑图标注的监控系统 → 大华默认口令 → 视频存档服务器3. 权限维持在安全设备眼皮下的持久化通过监控系统的RTSP服务漏洞上传Webshell后发现客户部署了某知名EDR产品。但安全设备的管理界面本身存在弱口令问题设备品牌山石网科 默认组合hillstone/hillstone 实际生效未修改默认密码利用这个漏洞我们直接添加了防火墙放行规则将恶意流量伪装成合法的Zoom视频会议流量。更讽刺的是在EDR的日志管理界面发现了如下配置!-- 审计日志过滤规则 -- rule actionexclude condition fieldusername valueadmin/ /rule4. 防御复盘从攻击链到防护矩阵这次渗透暴露的典型问题值得所有企业引以为戒。以下是按攻击阶段对应的防御建议攻击阶段防御措施实施难度信息收集修改所有系统默认banner★★☆☆☆初始访问强制修改出厂凭证启用多因素认证★★★☆☆横向移动网络分段隔离数据库连接使用最小权限账户★★★★☆权限维持安全设备自身强化日志全量审计★★★☆☆具体到技术层面建议管理员立即执行以下操作凭证扫描自检# 使用hydra进行弱口令自查 hydra -L users.txt -P top100_passwords.txt IP service -V -t 4服务加固清单禁用所有调试接口如ShowDoc的/install目录为管理接口添加IP白名单限制将默认管理路径改为随机字符串那次测试结束后客户CTO看着我们提交的完整域控截图沉默了很久。他最后的问题让我印象深刻“这些默认密码就写在设备的说明书里为什么我们没人注意”或许这就是安全最残酷的真相——最危险的漏洞往往就明晃晃地摆在每个人眼前。