渗透测试深度分析:空密码Administrator账户引发的安全风暴
0x01 测试背景
在内网渗透测试中,对Windows主机 192.168.1.98 使用 enum4linux 进行枚举:
enum4linux -u 'Administrator' -p '' -a 192.168.1.98
关键发现:Administrator账户空密码可登录,且主机存在高危暴露点。
0x02 关键发现与风险分析
1. 致命身份验证漏洞
[+] Server 192.168.1.98 allows sessions using username 'Administrator', password ''
- 风险:空密码的Administrator账户可直接登录,攻击者可完全控制系统(OS版本:Windows 10/Server 2016+)。
- 原因:未启用密码策略(
Minimum Password Length: 0,Password Complexity: Disabled)。
2. 敏感共享目录暴露
共享列表:
D Disk (可访问)
E Disk (可访问)
IPC$ IPC (远程IPC)
Users Disk (可访问)
- 高危文件(E盘发现疑似攻击痕迹):
cobalt_payload.exe // Cobalt Strike后门 smb.exe // 自定义SMB攻击工具 smb98.txt // 渗透日志 - 风险:攻击者可通过空密码访问共享,上传恶意工具或窃取数据(如微信图片、WPS文件)。
3. 用户与组权限问题
- 用户列表:
Administrator (RID 500) // 管理员权限 Guest (RID 501) // 默认启用 WDAGUtilityAccount (RID 504) // Windows Defender沙盒账户 - 关键组关系:
Administrators组包含: ZH-20191205SHUI\Administrator Guests组包含: ZH-20191205SHUI\Guest - 风险:Guest账户未禁用,可能被用于权限提升。
4. 安全策略缺失
Password Policy:
Complexity: Disabled
Minimum Length: 0
- 后果:允许任意弱密码,暴力破解难度极低。
0x03 渗透路径推演
攻击者可能利用的路径:
- 空密码登录 → 访问共享目录 → 上传恶意程序(如
cobalt_payload.exe)。 - IPC$共享利用:通过空会话枚举用户/组信息,规划横向移动。
- 打印机服务漏洞:暴露5个打印机接口(如
Lenovo M7626DNA),可能用于驱动攻击。 - 敏感数据窃取:
E:\微信图片_20240111170517.pngD:\bak软件和驱动(勿动)(含驱动级后门风险)
0x04 运维加固方案
立即补救措施
- 密码策略:
# 启用密码复杂度并设置最小长度 net accounts /MINPWLEN:10 net accounts /UNIQUEPW:5 secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose - 禁用高危账户:
net user Guest /active:no net user Administrator /active:no # 创建新管理员后执行 - 共享权限最小化:
net share D /DELETE net share E /DELETE icacls C:\Users /deny Everyone:(F) # 限制Users目录权限
深度防御建议
- 日志监控:审计
4624/4625登录事件,告警空密码登录行为。 - 漏洞扫描:定期扫描SMB协议漏洞(如MS17-010)。
- 应用白名单:限制
C:\和D:\根目录的可执行文件运行。 - 清除可疑文件:
del E:\cobalt_payload.exe, E:\smb.exe, E:\smb2.exe, E:\smb3.exe
0x05 总结
本次渗透暴露了内网安全的三大顽疾:
- 默认账户配置(空密码Administrator)
- 过度共享(开放磁盘根目录)
- 安全策略缺失(无密码复杂度要求)
运维箴言:
内网安全的本质是"零信任"。
管理员账户必须强密码 + 多因素认证,共享目录遵循"按需授权",安全策略需定期审计。
附录:渗透时间线
2025-06-24 02:54:攻击者在E盘植入smb3.exe(横向移动工具)2025-06-30 20:56:本次枚举检测到攻击痕迹
响应建议:全盘扫描后门,检查JianyingPro Drafts(剪映草稿)等目录是否被篡改。