从一次真实的HW行动复盘讲起:我们是如何通过‘弱口令字典’快速突破内网的?
弱口令攻防实战:从字典构建到内网突破的完整链条
去年某次企业红队评估中,我们仅用36小时就完成了从外网到核心区的全线突破。复盘时发现,超过70%的初始突破口都源于同一个问题——默认凭证未修改。这并非特例,根据2023年全球企业安全报告,弱口令问题已连续五年位列高危漏洞前三甲。
1. 弱口令字典的黄金法则
专业红队的武器库里总有一份不断进化的弱口令字典。与网上流传的通用字典不同,实战级字典需要遵循三个核心原则:
- 厂商特异性:不同设备厂商的默认凭证存在明显规律。例如海康威视设备常见
admin/12345组合,而H3C设备多采用admin/admin或root/h3c123.com - 行业特征:教育行业常用校名缩写+年份(如
njdx2023),医疗系统偏好hospital+科室代码 - 变形规则:基础密码常伴随大小写变换(
Admin@123)、年份后缀(password2024)等
实战中发现,某金融系统管理员密码80%符合"F大写+月份英文+4位年份"模式(如
Fjanuary2024),这种规律性大大提升了爆破效率
典型厂商默认凭证示例:
| 设备类型 | 用户名 | 常见密码 |
|---|---|---|
| 大华摄像头 | admin | admin / 888888 |
| 绿盟安全设备 | admin | Nsfocus@123 |
| 泛微OA系统 | admin | 空密码 |
| 山石防火墙 | hillstone | hillstone |
2. 自动化爆破的精准打击
有了优质字典后,如何高效实施爆破是关键。现代红队通常采用分层爆破策略:
服务识别阶段
nmap -sV -p 21,22,23,80,443,8080 192.168.1.0/24 -oN service_scan.txt通过端口扫描快速定位Web控制台、SSH、Telnet等服务入口
智能爆破阶段
# Hydra的智能模式示例 hydra -L users.txt -P passwords.txt -t 4 -vV -o found.txt \ -f ssh://192.168.1.100 -s 22 -M targets.txt-t参数控制线程数,避免触发防护机制
结果验证阶段
- 对成功组合进行人工验证
- 记录爆破成功的服务类型和时间戳
- 标记可能存在的账号锁定机制
爆破工具对比:
| 工具 | 优势 | 适用场景 | 规避检测技巧 |
|---|---|---|---|
| Hydra | 支持协议广泛 | 多协议并行测试 | 调整延迟参数(-w) |
| Medusa | 资源占用低 | 大型网络扫描 | 使用代理池轮换 |
| Patator | 模块化设计 | 自定义协议开发 | 随机化User-Agent |
| Xray | 内置智能字典 | Web控制台爆破 | 启用TLS加密传输 |
3. 内网横向的突破口选择
获得初始立足点后,明智的突破口选择决定行动效率。我们总结出三类高价值目标:
3.1 网络设备管理界面
- 路由器/交换机Web控制台(常存在RCE漏洞)
- VPN管理门户(可获取更多账户凭证)
- 防火墙配置页面(用于规则绕过)
3.2 监控系统
# 海康威视摄像头RCE漏洞检测 curl -X POST "http://10.2.1.100/System/configurationFile?auth=YWRtaW46MTEK"摄像头系统往往连通多个安全区域,且普遍存在未修复漏洞
3.3 运维管理系统
- 跳板机(通常存储大量SSH密钥)
- 备份服务器(可能包含明文密码)
- 监控平台(如Zabbix、Grafana)
在一次医疗行业评估中,我们通过某HIS系统的admin/His@1234凭证进入后,在备份服务器上发现了包含域管理员密码的运维脚本,直接导致整个AD域沦陷。
4. 防御体系的构建要点
真正的安全不是封堵某个具体漏洞,而是建立纵深防御体系:
凭证管理基础
- 强制修改所有默认凭证(包括API密钥)
- 实施密码策略(长度12+,包含特殊字符)
- 启用多因素认证(尤其对管理接口)
网络架构优化
Internet → WAF → DMZ → 内部防火墙 → 核心区 ↑ ↑ 跳板机 运维专用通道关键系统应该部署在网络隔离区域
监控响应机制
- 登录失败报警阈值(建议5次/10分钟)
- 异地登录行为分析
- 定期审计账户登录日志
某金融机构在部署了智能账号保护系统后,成功将暴力破解尝试的检测时间从平均4小时缩短到11分钟,有效阻断了90%的自动化攻击。
5. 实战中的反制技巧
高级攻击者会采用各种手段规避检测,防守方需要关注这些异常迹象:
- 低频慢速爆破:攻击者将单个IP的尝试频率控制在报警阈值下
- 凭证填充攻击:使用其他渠道泄露的密码组合进行尝试
- 协议隧道滥用:通过HTTP/S协议封装认证流量
检测建议:
# 使用ELK堆栈检测异常登录模式 event.dataset: "auth.log" and (event.outcome: "failure" and event.duration > 5s) or (src.ip: "192.168.1.*" and geoip.country_code2: "CN")真正的安全是持续的过程。每次攻防演练后,我们都会更新字典库——不是用来攻击,而是用来检查自身系统是否存在这些"行业通病"。最近新增的200条记录里,有38%来自客户实际环境的发现,这种持续进化才是防御弱口令威胁的核心。