文章总结： 本文详细分析了各类设备系统中普遍存在的默认密码安全隐患，重点列举了OA系统、路由器、光猫、安全设备等常见目标的默认凭证组合及利用方法。通过多个实战案例展示了默认密码如何成为渗透测试的突破口，并提供了系统化的资产发现、指纹识别和横向移动方法论。文档强调默认密码问题在安全设备中尤为严重，建议使用SecLists等工具进行自动化测试，并指出组合利用漏洞可显著提升SRC奖金价值。 综合评分： 87 文章分类： 渗透测试,安全意识,实战经验,漏洞分析,WEB安全

默认密码狩猎手册：从OA到光猫，从安全设备到路由器的“万能钥匙”

原创

逍遥 逍遥

逍遥子讲安全

2026年4月20日 09:52 广东

在小说阅读器读本章

去阅读

干了这么多年渗透，有个规律从来没变过：越是看起来难啃的目标，越有可能倒在一个默认密码上。

去年我经手的一个项目，目标是一家中型企业的内网。边界防护做得不错，WAF拦了几波扫描，登录框有验证码。最后怎么进去的？在外围信息收集中发现了一台暴露在公网的管理交换机，华三的，试了admin/admin，进去了。从这台交换机拿到配置，顺藤摸瓜进了核心。

这不是运气。开源项目DefaultCreds-cheat-sheet统计过，全球公开可查的默认凭证记录有3668条，覆盖1347个厂商、1110种用户名和1658种密码组合。最吓人的是，空用户名出现了790次，空密码出现了474次。

换句话说，大量设备出厂时根本没设密码，或者用的通用密码，而管理员从来没改过。

一、OA系统：企业的“命门”，默认密码的重灾区

OA是企业内网的核心，流程审批、人员信息、财务数据全在上面。但越是这种核心系统，默认密码问题越严重。

泛微OA（Ecology/E-office）

泛微是国内OA的头部厂商，几乎所有大厂都用。问题在于，不同版本的默认密码还不一样。

• sysadmin（超级管理员）：E8/E9/Ecology9版本的初始密码常见为1、111111、123456，部分E9版本密码为Weaver@2001
• admin：E-office11的管理员，密码在安装目录bin/initPassword.ini里，有的是123456
• weaveradmin：E10版本租户管理默认账户，密码Weaver@2001

识别特征：访问后标题或页面中有“e-cology”“泛微”“weaver”字样，或路径中包含/wui/index.html。FOFA语法：app="泛微-协同商务系统"。

通达OA

通达在中小企业和政府单位用得很多，它的特点是admin账户初始密码为空。

• admin：系统管理员，首次登录后才设置密码，但很多人首次登录后设了弱密码
• 数据库账户：用户名root，密码在安装目录bin/Service.ini中（随机生成）

识别特征：网页title是“通达OA”或“Office Anywhere”，登录页路径/ispirit/login.php，页面底部常带“Powered by TongdaOA”。FOFA：app="TDXK-通达OA"。

万户OA（ezOFFICE）

万户有个比较隐蔽的问题：除了前台管理账号，还存在一个webservice服务的万能通信密码auth.key.whir2012。

• 默认管理账号：部分版本存在jmx-console的admin/ezoffice

识别特征：页面包含“万户ezOFFICE协同管理平台”，特征路径/defaultroot/login.jsp。FOFA：app="万户网络-ezOFFICE"。

致远OA

• system/system
• group-admin/admin_default

实战案例：一个默认密码引发的连锁反应

去年在某教育行业SRC测试中，从外网发现了一套通达OA。试了admin/空密码，直接登录成功。进去后在工作流附件里找到一个《系统使用说明文档》，里面记录着统一身份认证系统的登录账号格式，以及“默认密码为身份证后六位”。

顺着这个规则，结合OA里导出的1400多名学生信息（含身份证号），批量登录统一身份认证系统，拿到大量学生个人数据。这个漏洞最终被评为高危，奖金5000元。

关键教训：OA系统的默认密码不是孤立的，它往往是进入更多系统的跳板。

二、路由器：公网上最容易被忽略的入口

路由器的默认密码问题比OA更普遍。为什么？因为OA至少有IT部门管，而路由器——尤其是分支机构、门店、远程办公点的小路由器——经常是买来插上就用，没人改密码。

常见品牌默认密码速查（大部分管理地址是192.168.1.1或192.168.0.1）：

| 品牌 | 用户名 | 密码 | 备注 | | — | — | — | — | | TP-Link | admin | admin | 最常见的组合 | | 腾达/Tenda | admin | admin | | | 华硕/ASUS | admin | admin | | | D-Link | admin | Admin | 注意A大写 | | 华为/Huawei | admin | admin | 部分型号地址192.168.3.1 | | 华三/H3C | admin | Admin | | | 思科/Cisco | admin/cisco | admin/cisco | enable密码通常为空 | | Juniper | netscreen | netscreen | SSG系列防火墙 | | 中兴/ZTE | admin | admin | | | Netgear | admin | password | | | Linksys | admin | Admin | | | Ubiquiti | ubnt | ubnt | 常见于无线网桥 |

实战案例：一个腾达路由器拿下整个门店网络

给某连锁品牌做渗透测试时，发现每个门店用的都是腾达路由器，公网IP直接暴露管理界面。试了admin/admin，全国37家门店的路由器全部可登录。

从路由器管理后台看到了门店内网的全部设备：收银机、监控摄像头、员工电脑。进一步在路由器上做了端口转发，直接进了内网收银系统。最终报告里写的是“默认密码导致全国门店网络边界失守”，客户CTO看完脸都绿了。

注意：CVE-2025-9577披露了TOTOLINK X2000R路由器在/etc/shadow.sample文件中硬编码默认凭证的问题，影响版本高达2.0.0。这类漏洞在二三线品牌路由器中非常普遍。

三、光猫：运营商留的“超级后门”

光猫的默认密码分两种：普通用户（useradmin）和超级管理员。普通用户只能看不能改，超级管理员可以改桥接、端口映射、甚至Telnet。

三大运营商超级管理员默认密码：

| 运营商 | 用户名 | 密码 | | — | — | — | | 电信 | telecomadmin | nE7jA%5m | | 电信（部分） | telecomadmin | admintelecom | | 移动 | CMCCAdmin | aDm8H%MdA | | 移动（老款） | admin | Cmcc10086# | | 联通 | CUAdmin | CUAdmin | | 广电 | admin | aDm8H%MdA |

如果默认密码失效怎么办？

直接打客服电话。电信10000、移动10086、联通10010，报光猫型号和SN码（设备底部有），说“需要超级管理员密码做端口映射或者换路由器”。大部分客服会直接告诉你，或者远程帮你改。

Telnet的额外入口：部分光猫默认开启Telnet，用户名root，密码admin。进去后可以su提权到超级用户模式，直接修改配置文件。

实战案例：一次护网中的“曲线救国”

某次护网，目标企业网络边界很严，但员工在家办公用公司配的光猫。通过社工拿到光猫型号，用默认超级密码登录，在光猫上做了端口转发，把员工电脑的3389映射到公网。然后用之前收集到的弱口令登录了员工电脑，电脑上保存着公司VPN的配置文件和密码。

光猫→员工电脑→VPN→企业内网，一条完整的攻击链。

四、安全设备：防护者自身的“致命伤”

最讽刺的地方来了：防火墙、堡垒机、VPN这些本该保护网络的设备，出厂默认密码问题比普通设备更严重。

常见安全设备默认密码：

| 设备 | 用户名 | 密码 | 管理地址 | | — | — | — | — | | 深信服防火墙/AF/AC/VPN | admin | admin | 10.251.251.251 | | 深信服AF老版本 | admin | sangfor | | | 华为USG防火墙 | admin | Admin@123 | | | 华为交换机 | admin | [email protected] | | | 华三/H3C防火墙 | admin | admin | | | 天融信防火墙 | superman | talent！23 | 192.168.1.254:8080 | | 联想网御防火墙 | admin | leadsec@7766 | 10.1.5.254:8889 | | 联想网御 | administrator | administrator | | | 启明星辰 | admin | bane@7766 | | | 网御漏洞扫描 | leadsec | leadsec | | | 绿盟产品 | nsfocus | 123 | | | 绿盟 | weboper | weboper | | | 绿盟安全审计 | webaudit | webaudit | | | Juniper SSG | netscreen | netscreen | | | 飞塔/Fortinet | admin | 空 | | | 山石网科 | hillstone | hillstone | | | 中新金盾 | admin | 123 | | | 阿姆瑞特 | admin | manager | | | 科来网络回溯 | csadmin | colasoft | | | Dell iDrac | root | calvin | 192.168.0.120 |

几个特别值得注意的点：

1. 深信服全系列：防火墙、VPN、上网行为管理、负载均衡，默认密码几乎全是admin/admin或admin/sangfor。深信服设备在政企市场占有率极高，这意味着大量暴露在公网的安全设备可能使用默认密码。
2. 天融信防火墙：管理地址是https://192.168.1.254:8080，密码talent！23。注意感叹号是英文半角。
3. CVE-2025-57295：华三设备固件版本NX15V100R015存在不安全的默认凭证，攻击者可借此获得对设备的未授权访问。
4. 奇安信防火墙的特殊情况：6.1.13版本之后，默认密码不再是固定值，需要序列号向400申请动态码。这说明部分厂商已经在改进，但存量设备仍是大问题。

实战案例：一个防火墙默认密码引发的数据中心沦陷

去年参与的一个红队项目，目标数据中心边界是一台某品牌防火墙。Shodan搜到管理界面暴露在公网，试了默认密码admin/admin，直接登录。

进去后做了三件事：

1. 查看防火墙策略，确认内网网段
2. 添加一条NAT规则，把内网一台Windows跳板机的3389映射到公网
3. 用提前准备的弱口令字典爆破那台跳板机，成功登录

从发现防火墙到进入内网，全程不到2小时。而防守方的SIEM上，只看到一条“管理员登录防火墙”的正常日志。

五、其他容易被忽略的设备

数据库

• MySQL：root/空密码或root/root
• PostgreSQL：postgres/postgres
• Oracle：system/manager、sys/change_on_install
• SQL Server：sa/空密码
• Redis：默认无密码，直接连接

中间件

• Tomcat：tomcat/tomcat，manager/manager
• WebLogic：weblogic/welcome1
• WebSphere：wsadmin/wsadmin
• JBoss：admin/admin
• Jenkins：admin/password（首次安装时生成）

运维工具

• Zabbix：Admin/zabbix
• Nagios：nagiosadmin/nagiosadmin
• Grafana：admin/admin
• JumpServer：admin/admin（首次登录强制修改）

网络设备

• 思科：cisco/cisco，enable密码为空
• 锐捷：admin/admin或admin/ruijie

六、默认密码狩猎的“流水线”方法

光知道密码没用，得有系统化的挖掘方法。

第一步：资产发现

• FOFA/Shodan：搜特征关键词（“泛微”“通达OA”“H3C”“深信服”）
• 子域名爆破：OA、VPN、邮件系统往往挂在子域名上
• 端口扫描：重点扫80、443、8080、8443、22、23、3389

第二步：指纹识别

• whatweb、Wappalyzer识别组件和版本
• 手工看页面特征、title、favicon、版权信息
• 部分设备有特征URL（如泛微的/wui/index.html、万户的/defaultroot/login.jsp）

第三步：默认密码测试

• 先手工试最可能的1-2组（admin/admin、admin/空、admin/123456）
• 再用Burp Intruder配合默认密码字典批量测
• 注意处理验证码、登录限制、账户锁定

第四步：登录后的横向移动

• OA系统：导出通讯录 → 生成密码字典 → 爆破邮箱/VPN
• 路由器：查看内网设备 → 端口转发 → 进入内网
• 安全设备：修改策略/添加规则 → 放行攻击流量
• 所有系统：查找配置文件、网络拓扑、密码本

推荐工具和字典：

• SecLists：GitHub上最全的渗透测试字典集，包含默认凭据、常见弱口令、目录字典
• DefaultCreds-cheat-sheet：3668条默认凭证，支持命令行搜索creds search 品牌名
• dpl4hydra：Debian官方工具，可按品牌生成默认密码列表，直接对接hydra爆破
• fscan、goby：内网综合扫描工具，自动识别常见设备并测试默认密码

七、真实的奖金数据：默认密码到底值多少钱

根据我过去两年在各大SRC的提交记录：

| 漏洞类型 | 奖金区间 | 案例 | | — | — | — | | OA默认密码+后台登录 | 500-2000元 | 泛微/通达/致远默认密码直接进后台 | | 网络设备默认密码 | 800-3000元 | 路由器/交换机默认密码登录 | | 安全设备默认密码 | 2000-5000元 | 防火墙/VPN默认密码+策略修改 | | 默认密码+数据泄露 | 3000-8000元 | OA后台导出用户数据/通讯录 | | 默认密码+内网穿透 | 5000-15000元 | 从边界设备打进内网核心 |

组合利用是提高奖金的关键。单独报“某OA存在默认密码”可能只拿500-800元。但如果你用默认密码登录后，导出通讯录、找到VPN账号、爆破进入内网——这条攻击链报上去，5000起步。

某企业SRC的真实案例：一个培训平台系统，测试发现账号密码相同即可登录（如test/test）。登录后通过参数遍历实现未授权文件访问，最终获得中危评级。这就是典型的“弱口令+组合利用”的漏洞链模式。

八、防守方必读：为什么默认密码问题永远修不完

站在甲方视角，默认密码问题为什么这么难根治？

1. 资产不清：大量“影子IT”设备（部门自己买的路由器、测试环境遗留的OA）不在资产清单里，安全团队根本不知道它们存在。
2. 运维怕出事：核心业务系统的默认密码改了之后，万一哪天需要紧急维护，运维人员找不到密码，反而被问责。“能用就行”的心态根深蒂固。
3. 厂商推卸责任：部分厂商在设备文档里写了“首次登录请修改密码”，但从不强制。出了问题厂商说“我们提醒过了”。
4. MFA覆盖率低：即使是改了默认密码的系统，如果没有MFA，仍然会被爆破。而MFA在老旧OA、网络设备上的支持度极低。

自查清单：

• 公网暴露的所有设备是否已录入资产清单？
• 所有OA、VPN、防火墙、路由器的默认密码是否已修改？
• 关键系统是否启用了MFA？
• 内网是否有定期弱口令扫描？
• 新上线设备是否有默认密码检查流程？

写在最后

从OA到路由器，从光猫到防火墙，默认密码问题像一个幽灵，飘荡在整个互联网的各个角落。它不是0day，不需要高超的利用技巧，甚至不需要写代码——只要你知道那组通用的账号密码，就能进去。

真正可怕的是，知道这些默认密码的不只是渗透测试人员。Shodan上随便搜一搜，Censys上随便扫一扫，无数设备的“大门”就这样敞开着。

下次你在做渗透测试或者SRC挖洞的时候，别急着上扫描器。先想想：这个系统，管理员改过默认密码吗？

答案，往往就是你的突破口。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：逍遥子讲安全 逍遥 逍遥《默认密码狩猎手册：从OA到光猫，从安全设备到路由器的“万能钥匙”》