2026-03-03 04:27:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文复盘了攻防演练中无漏洞利用仅凭弱口令与凭据复用打穿内网的案例。攻击者通过公网暴露的堡垒机默认口令获取凭据，爆破进入内网后提取软件保存密码实现横向移动，并利用RDP隧道渗透政务网与K8S集群。文章建议堡垒机禁用公网暴露与默认密码、启用MFA、实施凭据托管、禁止软件保存密码并严格限制运维端口访问，以构建有效防线。 综合评分： 86 文章分类： 渗透测试,内网渗透,实战经验,红队,安全建设

cover_image

攻击路径(8)：不用漏洞也能打穿内网

原创

罗锦海罗锦海

OneMoreThink

2026年2月27日 01:17 广东

本文是攻防演练《某次攻防演练中通过一个弱口令干穿内网[https://www.freebuf.com/defense/414846.html]》的复盘笔记，欢迎大家阅读原文。

完整攻击路径

路径节点、安全风险、防御建议

节点一：互联网信息收集

使用Punycode编码去搜索域名，比如

成功找到了一个域名，并且成功拿到了当地的IP的C段资产

通过扫描小C段，发现了许多资产，其中存在两个安恒堡垒机

猜出了弱口令账户，用户就是该单位的首字母的缩写，密码就是默认的账户密码，直接进入了堡垒机

发现了多台机器，想使用堡垒机登录机器的，后面发现堡垒机授权过期了，没办法直接登录

于是直接导出运维机器的账号密码，将导出的密码做成密码本

1、通过（默认密码）攻击，获得（堡垒机应用的）权限，并导出（运维服务器的）凭据

「堡垒机不要开放到互联网」：这会使其暴露在自动化扫描工具、漏洞利用程序和密码爆破攻击之下，攻击者会将堡垒机作为进入内网的“跳板机”进行重点攻击。

「堡垒机不要使用默认密码，应该使用双因素认证」：弱口令是堡垒机权限丢失最常见的原因。即便使用了复杂静态密码，也可能由于密码爆破或钓鱼攻击导致密码泄露。

「堡垒机不要存储和展示运维服务器的凭据」：堡垒机的主要价值在于“代理”和“审计”，而非“存储秘密”。如果堡垒机数据库中以明文或可逆加密方式存储了目标服务器的IP、端口、账号和密码，一旦堡垒机被攻破，攻击者将直接获得所有下游资产的登录凭据，整个数据中心将彻底沦陷。

堡垒机禁止直接公网暴露：堡垒机管理界面和SSH/RDP服务必须置于内网，运维人员必须先通过VPN（需开启MFA）或专线接入内网，获得合法的内网IP后才能访问堡垒机。同时防火墙上需要设置严格策略，仅允许指定IP地址（如运维网段、VPN地址池）访问堡垒机。
所有堡垒机用户（包括管理员和普通运维人员）登录时，必须启用双因素认证。这样即使密码泄露，没有第二因素也无法登录。
堡垒机数据库中存储的服务器密码必须经过不可逆加密（如哈希加盐）或强加密，且加密密钥与数据分离存储。
实施“凭据托管”而非“凭据展示”，配置堡垒机对接目标服务器时使用加密托管的方式，运维人员登录目标机时，堡垒机只是自动代填密码，而不是在前端页面展示密码明文。
将堡垒机日志发送至外部日志中心（SIEM），防止攻击者入侵后删除本地日志毁灭证据。同时应配置异常行为告警，如短时间内多次登录失败、非工作时间登录、从异常地理位置登录等即告警。

节点二：单位边界突破

拿密码本去爆破该C段，最后成功爆破出了入口机，nice！

爆破出了入口机是Linux，我们先后尝试上sliver、vshell等C2，但是都无法上线，最后我们选择了最原始的办法，上传魔改的frp直接内网探测。

因为Linux上东西都翻完了，想着将攻击面再扩大一点，于是我将目光看向了Windows

在Windows上发现了RDP的连接记录，使用工具将记录dump出来

2、通过（凭据复用）攻击，获得（服务器的）权限，并导出（RDP连接记录的）凭据

「凭据被盗后存在被登陆利用和喷洒复用的风险」：可被攻击者用于登录尝试，获取应用、服务器、数据库、云环境的权限。

系统中避免存在相同密码，或应启用双因素认证机制；
在风险较大的凭据失窃点投放凭据类蜜罐诱饵，并监测相关凭据使用情况以发现失陷事件。

「运维端口不要开放到互联网」：将运维端口直接暴露在公网，相当于把企业内网的关键通道“敞开后门”。攻击者通过互联网扫描即可发现这些端口，随后利用自动化工具进行密码爆破、漏洞探测或0-day攻击。一旦得手，攻击者便能直接控制核心资产，进而横向渗透整个内网，造成数据泄露、勒索病毒植入或业务中断等严重事件。

任何运维端口不得直接向互联网开放，应在网络边界（防火墙、安全组）配置策略，仅允许内部办公IP或VPN地址池访问。若业务必须开放特定运维端口，应在防火墙上配置仅允许可信IP段访问（例如公司总部固定IP、分支机构IP），并定期审核白名单。

「跳板机等运维服务器中的各类软件不要记住密码」：运维人员为了操作便利，常在跳板机（或运维堡垒机、运维工作台）上使用SSH客户端、数据库管理工具、FTP/SFTP客户端、浏览器（访问云控制台或内部系统）等软件时，勾选“记住密码”或保存会话功能。这些软件通常以本地文件、注册表或密钥环的形式存储凭据，且加密强度参差不齐。一旦跳板机被攻陷，攻击者可轻易提取这些存储的密码，直接登录后端服务器或敏感系统，导致安全防线全线崩溃。

客户端软件配置：强制禁用密码保存功能，为跳板机制作标准化操作系统镜像，在镜像中预装必要的运维工具，并全局禁用这些工具的密码保存功能。
定期对运维人员进行安全意识教育，明确在跳板机上保存密码的严重危害，培养“每次运维均需输入密码”的习惯。同时通过模拟攻击演示密码提取工具如何轻松获取保存的密码，增强员工的直观感受。

节点三：单位内网横向

成功连接目标机器

使用魔改后的密码凭证收集工具laZagne将所有机器上的密码凭证导出，顺利拿下了多个数据库、多个web管理员账号和密码

（别问为什么不fscan，问就是怕死、怕掉、怕被溯源扣分）

3、通过（凭据利用）攻击，获得（服务器的）权限，并导出（各类软件存储的）凭据

「跳板机等运维服务器中的各类软件不要记住密码」：安全风险、加固措施，与路径节点 2 相同。

节点四：政务网横向

然后在RDP连上的Windows的浏览器上看到了网站的访问记录，发现好像是公网IP，然后在自己的机器上访问了一下，发现访问不了，然后在内网的Windows上就能访问。此时就想到了电子政务网这个东西，但是不敢百分百确定，之后又发现多个同段IP，并且网站标题均为政务内容其实还有其他证明的，但是过于敏感就不说了。尝试FRP代理政务网出来，失败了，但是想到RDP能连接，就使用RDP隧道进行连接，成功将流量代理出来。

使用拿到的账户密码进行连接访问，又在其中翻到了敏感数据，芜湖，起飞~！

拿到这些之后还在政务网的其中一台Linux机器上发现了K8S集群，又爽了！通过特权提升，从node 节点干到了 master 节点，到此本次该单位攻击结束。

4、通过（凭据利用）攻击，获得（应用、服务器、数据库的）权限

「跳板机等运维服务器中的各类软件不要记住密码」：安全风险、加固措施，与路径节点 2 相同。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OneMoreThink 罗锦海罗锦海《攻击路径(8)：不用漏洞也能打穿内网》