弱口令

弱口令利用的是认证机制存在但口令强度不足时身份验证形同虚设：攻击者无需绕过认证逻辑，直接通过认证。 管理控制台、数据库管理界面、运维工具、OA 系统，只要暴露在网络上且使用了默认或简单密码，就相当于敞开了大门。

成立前提

服务对外网或内网暴露；缺少登录失败锁定或速率限制；使用了安装时的默认密码，或密码策略宽松（长度短、无复杂度要求）；多系统共用同一套密码。常见受影响位置：

• 中间件管理控制台（WebLogic、Tomcat、JBoss、WebSphere）
• 运维监控工具（Zabbix、Nagios、Grafana、Jenkins、Kibana）
• 数据库管理界面（phpMyAdmin、Adminer）
• OA/协同系统（致远、泛微、蓝凌）
• 企业邮件系统（eYou、Coremail 等私有部署产品）
• VPN/堡垒机管理端
• 网络设备管理页面
• 工控/SCADA 设备 Web 管理界面

企业邮件系统是弱口令到内网漫游的常见入口：邮箱登录后，收件箱中往往留有其他系统的账号密码（IT 通知邮件、密码重置邮件、运维周报），再凭此登录 SSO 或 VPN，整个内网由此打通。以 eYou 为代表的私有部署邮件产品在大量企业中使用出厂默认管理密码且未修改，搜索引擎可批量定位目标，批量验证命中率极高。

利用链路

扫描工具发现开放端口后，自动识别服务类型并匹配对应的默认密码字典：

[发现] host:8080 → Tomcat Manager
[尝试] admin / tomcat → 登录成功
[利用] 部署 WAR 包 → 获得 webshell → 内网横移

中间件控制台的利用路径尤为直接：Tomcat Manager 允许部署 WAR 包，上传包含 JSP 脚本的 WAR 文件后，直接获得服务器上的代码执行能力。WebLogic 控制台同理，JBoss 可通过 JMX 接口部署。

完整链路：扫描暴露面 → 识别服务类型 → 字典尝试默认密码 → 登录控制台 → 部署恶意文件/命令执行 → 获取 shell → 读取配置文件中的数据库凭据 → 横向渗透内网。

邮件系统横移路径有所不同，不依赖代码执行，完全在应用层完成：

[发现] 企业邮件系统登录页
[尝试] admin / 产品默认密码 → 登录成功
[翻阅] 收件箱历史邮件 → 找到 VPN 账号、SSO 重置链接
[利用] 凭借邮件中的凭据登录 SSO → 内网所有挂载系统均可访问

MySQL 外连弱口令的链路更短：扫描发现 3306 端口开放 → 使用常见默认账号直接连接 → 读取业务数据库中的用户表和配置表，全程无需获取操作系统权限。

历史样本

中间件默认凭据：Tomcat Manager 的内置用户（如 tomcat:tomcat）在大量生产环境中从未修改，攻击者登录后部署 WAR 包即可 getshell。

OA 系统通用弱口令：企业 OA 系统对内网开放，默认管理员账号密码为 admin/123456，登录后可导出全员通讯录、邮件、审批流中的敏感信息。

监控系统默认密码：Cacti、Zabbix 等运维工具以系统名或域名为密码（如 cacti:cacti），登录后可查看所有被监控主机的连接凭据。

密码规律性强：运维账号密码普遍存在规律——公司名缩写+年份、系统名+数字序列、节气/季度组合——针对性字典可大幅提高命中率。

密码跨系统复用：一个暴露服务的密码被破解后，同一用户在其他系统（邮箱、VPN、代码仓库）使用同密码，单点突破扩展成全面沦陷。

空密码：部分后台系统（尤其是政府/事业单位的 OA 系统）密码字段为空，无需输入直接点击登录即可进入；另有系统虽设有密码框，但服务端对空密码不做拒绝处理。

工控/SCADA 出厂默认密码：工控设备和楼宇自控系统使用嵌入式 Web 界面，默认凭据由设备供应商公开记录于安装手册中，设备上线后长期不维护、密码从未修改。与普通 Web 系统不同，登录后可直接下发控制指令（如调节燃气阀门、修改 PLC 参数），危害超出数据层面，可造成真实物理后果。

数据库端口直接对外暴露：MySQL 3306、MSSQL 1433 等数据库端口未经防火墙过滤直接暴露到公网，root 或 sa 账号使用空密码或极简密码。攻击者无需 Web 入口，直接用数据库客户端连接后即可读取所有业务表，全程不涉及操作系统权限，链路极短。phpMyAdmin 等数据库管理界面以同样方式暴露时，root 空密码还可通过写文件操作直接 getshell，权限提升一步到位。

视频监控与远程控制设备批量默认密码：工程摄像头、DVR、渔港/大桥/园区监控系统普遍使用 admin/admin 或出厂密码从未修改，且设备直接接入公网。搜索引擎以特定 banner 批量定位同型号设备后，单个密码可横扫整批同款设备，控制界面实时可见摄像画面，部分设备还允许远程 PTZ 操控。录音系统、电话录音盒同样存在此模式，历史通话可直接下载。

堡垒机弱口令致内网全面暴露：堡垒机（跳板机）位于网络边界，管理员账号使用 admin/admin 等默认凭据。登录后可枚举到已托管的所有内网服务器及其凭据，无需额外横移：堡垒机本身就提供了通往全部内网资产的直达通道，且操作记录留在攻击者控制的会话里而非目标服务器日志中。

网络网关设备默认密码泄露内网流量：企业出口路由器、无线网关使用出厂默认账号密码（如锐捷 EG 系列的 admin/admin），管理界面直接对公网开放。登录后可查看实时流量、用户上网明细、邮件和 IM 内容，相当于在网络出口放置了一个全流量镜像。运营商驻地设备（如特定型号宽带路由）存在固定维护账号，密码写死于固件，用户无法修改，批量扫描同型号即可批量接管。

SVN/代码仓库服务弱口令导致源码全量泄露：SVN、GitLab 等代码托管服务的管理账号使用 root/qwer1234 或与系统名相同的默认凭据，攻击者登录管理后台后可导出全量代码。源码中往往硬编码了数据库连接串、API 密钥、内部服务地址，一次代码仓库入侵等同于拿到了整套基础设施的凭据清单，后续横移无需额外漏洞。

安全设备自身使用默认密码：WAF、流量审计设备、SSL VPN 网关等安全类产品同样存在出厂默认凭据（如深信服设备的默认管理口令），且因部署在网络边界而直接对外暴露。登录后可关闭或绕过该设备的防护策略，令其保护的所有内网服务形同裸奔；此类设备的入侵往往不触发被其保护系统上的任何告警。

FTP 服务匿名访问或弱口令：内部文件服务器以 FTP 形式对公网开放，允许匿名登录或使用 ftp:ftp@IP 等极简凭据。历史录音、通话记录、财务报表、合同扫描件等文件直接可下载，无需经过任何 Web 应用层；部分服务器同时开放写入权限，可植入可执行文件或替换现有文件，将文件服务器转变为投递载体。

账号名称规律性降低爆破难度：企业内部账号普遍采用姓名全拼（zhangsan）或"姓+名首字母"（zhangs）格式，可直接从企业对外页面、招聘信息或邮件签名中批量采集。账号名既已确定，实际爆破只需遍历密码，有效搜索空间骤降。邮件系统、OA、VPN 登录接口缺少验证码或速率限制时，一份员工名单加上常见密码字典即可在短时间内批量命中。

行业/企业特征密码：密码往往直接取自组织本身的标识——航空货运系统用货运代码缩写（cgo123456）、证券公司用公司英文缩写（gtja2015）、产品系统用中间件产品名（weblogic）。这类密码不在通用字典中，但对熟悉目标行业的攻击者而言是优先候选项，针对特定行业构建的定制字典命中率远高于通用字典。

员工通讯录驱动的二次凭据填充：初次突破某 OA 或内部系统后，攻击者导出全员通讯录，将姓名拼音账号批量转化为邮件/VPN 爆破字典，以 123456 等高频密码横扫整个企业账号体系。这与外部泄露库撞库不同——账号来源于内部，覆盖率接近百分之百，仅需一套简单密码即可批量命中尚未修改初始密码的员工账号。

监管/合规系统统一初始密码：政府监管平台、行业认证系统（食品药品、教育、保险）按许可证号或机构代码批量开户，初始密码统一设为固定值（如 123456 或 000000），且从未强制要求修改。账号名本身公开可查（许可证号、机构代码），加上固定初始密码，等同于向所有持证机构开放了互查权限；整个行业数据可被系统性遍历，而无需任何暴力破解。

建站程序/SaaS 平台预置万能后门账号：部分 CMS 厂商或 SaaS 服务商在所有客户部署中预留了统一的隐藏管理账号，用于售后维护。该账号不在客户可见的用户列表中，密码固定不变。一旦该凭据外泄或被逆向提取，攻击者凭单一账号密码可横扫所有使用该建站程序的站点，危害呈平台级扩散而非单一目标。

非 HTTP 管理协议默认凭据：SNMP、ActiveMQ、Redis 等非 Web 管理协议同样存在默认凭据（如 SNMP community string public、ActiveMQ 默认管理账号），但往往被密码策略和安全扫描忽略。攻击者扫描相应端口后直接以默认凭据接入，可获取网络拓扑、消息队列内容乃至内网主机信息，且此类访问几乎不会触发 Web 应用层的任何告警。

政务系统已遭入侵但未修复：政务平台使用中间件默认凭据，入侵成功后发现系统中已存在隐藏账号——说明该弱口令在此之前已被他人利用，漏洞未发现、未修复、被重复利用，形成持续暴露窗口。

交易系统极简密码暴露业务操作权限：金融或交易类系统管理员账号使用最简单的数字组合，登录后可直接查看和操作交易记录，弱口令的危害直接映射为业务数据被任意读取或篡改。

教育网认证系统默认凭据：校园网准入认证系统使用与产品名相同的账号和密码（如 drcom/drcom），登录后可访问全校上网数据库；同类系统还常伴随目录遍历等次生漏洞，单一默认凭据可串联多个入口。

关键基础设施弱口令暴露运营数据：航空、物流等关键基础设施管理平台使用弱口令，登录后可访问飞行记录、运输状态等高度敏感的运营数据，凭据管理缺失的影响边界超出常规业务系统。

同组织多实例共用弱口令放大影响面：同一企业的多个中间件实例（如多套 Tomcat）使用相同弱口令，通过管理控制台部署恶意包 getshell 后，单次入侵可横扫组织内所有同类实例，弱口令复用将单点突破转化为多点沦陷。

账号命名规律暴露用户名空间：系统账号按"地名+机构名"等可预测模式生成，攻击者无需猜测账号——只需从公开行政区划或机构列表枚举，再搭配通用弱密码即可批量尝试，账号命名规律本身成为攻击向量的一部分。

后台弱口令致配置文件明文凭据连锁泄露：业务后台使用弱口令，登录后发现系统配置文件明文存储数据库连接串及应用密钥，单次弱口令命中等效于拿到整套数据库和应用层权限；后台入口是跳板，真正的战利品在配置文件里。

燃气走表与计量系统账号数据可被篡改：在 IT/OT 边界模糊的燃气管理系统中，弱口令不仅导致数据泄露，还允许攻击者修改计量记录或下达设备指令，危害从信息层延伸至实际物理计量，影响公用事业的数据完整性。

用户名即密码：企业员工邮箱或内网账号的密码与用户名完全相同（如账号 chenyang，密码也是 chenyang），常见于集团内网统一认证和 VPN 入口。这类密码不出现在任何通用字典中，但只要知道账号名就等同于知道密码，社工采集到员工名单后无需额外猜测即可直接登录。

测试账号遗留生产环境：开发或压测阶段创建的测试账号（如 ***test）在系统上线后未被清理，密码为固定的测试值，权限等同于正式账号甚至具有充值、交易等敏感业务操作能力。测试账号往往不在账号审计范围内，长期处于无人管理状态。

CMS/论坛管理后台弱口令 + 插件编辑 getshell：WordPress、Discuz 等建站程序管理后台使用弱口令登录后，直接编辑已安装插件的 PHP 代码写入 webshell，无需利用任何代码漏洞。管理后台的代码编辑功能是合法特性，弱口令是唯一前提，利用路径简单且不产生异常请求特征。

宽带运营商推送系统弱口令串联多级横移：ISP 宽带推送管理后台使用 admin/admin 等默认凭据，登录后可查看目录结构和 FTP 账号；凭 FTP 账号再尝试 SSH 登录成功，进入服务器后发现配置文件中明文存储了多台内网服务器的数据库 root 凭据，单一边界弱口令通过逐层利用配置文件穿透至核心内网。

数据库备份功能赋予低权限账号越级访问：具有有限权限的账号发现后台存在"SQL 备份/恢复"功能，可直接下载整个数据库 dump 文件。得到 dump 后离线破解其中哈希值，再以解密出的高权限凭据登录管理后台，绕过了直接暴力破解高权限账号时面临的速率限制。

账号名+数字后缀的可预测组合：系统账号按"前缀+数字"规律批量生成（如企业代号加三位地区编号），配合固定格式密码（如"账号前缀+数字"），只需遍历数字区间即可在短时间内批量命中大量账号，整个爆破过程相当于有序枚举而非随机猜解。

通信/视频会议终端管理系统弱口令：运营商或企业内部的视频会议终端管理平台使用通用账号密码（如 test/test 或 qaz123456），且对登录失败无任何限制。登录后可枚举并查看所有在线终端的详细信息、所属单位及实时连接状态，规模可达数千台终端，相当于获得了整套通信基础设施的可视化控制视图。

O2O/支付后台弱口令直接暴露资金操作权限：电商或支付类系统管理后台使用 admin/admin 等最简凭据，登录后可查看商户信息、用户身份证及银行卡信息、交易流水，部分系统还允许直接操作提现审核和分润规则。支付场景下的弱口令影响不止于数据泄露，还涉及资金安全。

JBoss 管理控制台默认凭据部署恶意应用：JBoss 的 admin-console 或 jmx-console 使用出厂默认凭据，登录后可通过 JMX 接口或部署功能上传恶意 WAR/EAR 包直接 getshell，与 Tomcat Manager 利用路径同源，但 JBoss 暴露面在生产环境中长期被忽视，往往比 Tomcat 更难被安全扫描发现。

政务/监管平台中间件已被他人利用但入口持续开放：政务或政府服务类平台使用中间件默认凭据，渗透进入后发现系统中已存在非管理员植入的隐藏账号或 webshell，说明该弱口令在此前已被他人利用。漏洞未被发现、未被修复，导致同一入口被多方重复利用，每一个新攻击者都在无意间接管了之前攻击者留下的据点。

NAS/网络存储设备弱口令串联操作系统权限：高校或企业内部 NAS 管理界面使用 admin/admin 等默认凭据，登录后可修改文件共享权限，访问原本不可读的目录。NAS 中往往存放了服务器维护文档和 SSH 凭据，凭借这些凭据直接以 root 权限 SSH 登录底层系统，弱口令从存储设备延伸至操作系统层，影响层级跨越两个维度。

GPS 车辆追踪系统弱口令暴露实时位置与控车权限：北斗/GPS 车辆管理平台使用 admin/admin 等默认凭据，登录后可实时查看全部托管车辆的地理位置、行驶速度，并向车载终端下发切断油路电路、拨打车内电话、发送短信等指令。与普通数据泄露不同，此类系统的弱口令直接赋予攻击者对物理车辆的远程控制能力。

项目管理/缺陷追踪工具弱口令暴露客户源码：禅道、Jira 等内部研发协作平台使用默认凭据，登录后可访问所有项目的代码仓库地址、数据库连接配置和客户项目源码。开发工具往往同时托管甲方系统代码，单次入侵不止波及承建方自身，客户的核心资产也随之外泄。

公共能耗监测平台弱口令泄露全省基础设施数据：省级公共建筑能耗动态监测系统使用 admin/admin 等极简凭据，且平台上所有接入单位普遍沿用相同弱口令。登录后可读取全省用电、用水、用气、用暖的实时监测数据及历史统计，涉及医院、学校、政府机关等大量民生场所，数据集中程度高，一次入口突破即可横扫省级覆盖范围。

移动基站/机房管理系统弱口令暴露通信基础设施：运营商基站优化管理平台使用通用弱口令，登录后可获取全市基站和机房的部署位置、设备配置及网络拓扑信息，涉及核心通信基础设施的物理位置和资产清单。此类系统通常缺少登录失败限制，且因属于内部运维工具而长期不在外部安全审计视野之内。

APP 内容管理后台弱口令允许任意篡改推送内容：媒体或资讯类 APP 的内容管理后台使用 test/test 等测试凭据，登录后可新增、修改或删除所有新闻、文章、广告内容，并向全体用户发起推送通知。弱口令影响的不是数据窃取，而是内容完整性——攻击者可直接向用户推送虚假信息，且操作界面无需任何技术手段，等同于拥有了编辑权。

发票与税务管理系统弱口令允许伪造开票：税务服务类平台或发票管理系统使用 admin/admin 等默认凭据，登录后不仅可以查看纳税人的开票历史和税务信息，还可以增删发票记录。税务系统的弱口令危害超出数据泄露范畴，直接触及财务数据的真实性和税务合规边界。

独立财务报表系统弱口令旁路主系统防护：企业财务报表或 ERP 分支系统独立部署并使用极简密码，与主站安全防护完全隔离。登录后可查看历年财务报表、负债结构和内部成本数据；此类系统往往不在企业安全团队的扫描范围内，弱口令长期无人治理，成为从外围突破核心财务数据的捷径。

Lotus Domino 邮件服务器弱口令暴露企业通信全貌：大型企业部署的 Lotus Domino 邮件服务器使用弱口令，登录管理控制台后可枚举所有邮件服务器实例的连接配置、用户目录和邮件存档。Domino 在集团型企业中承载着跨子公司的统一通信，单次入侵可覆盖整个集团的邮件基础设施，且历史邮件中往往存有其他内网系统的凭据。

安防监控管理平台弱口令附带任意文件上传：园区或楼宇安防管理平台使用简单凭据，登录后后台存在文件上传功能且未做类型校验，可直接上传 webshell。安防平台往往部署在内网核心位置且有专用网段，弱口令突破后的横移路径比普通业务系统更短，同时安防告警也由攻击者掌控，入侵行为难以被发现。

行政执法/业务系统警号即密码：部分政务或行政执法系统账号以警号或工号作为用户名，初始密码与账号相同且未强制修改。账号可从系统登录成功提示或公开名册推断，账号名即密码使得整个系统的所有用户账号都不需要额外猜解，凭借任意一个已知工号可直接登录并访问全系统的人员信息与业务记录。

P2P 金融平台多账号同权限弱口令允许资金操作：P2P 或互联网金融平台存在多个账号使用不同弱口令但均具备管理员权限的情况，其中包括测试账号。登录后可查看用户充值记录和资金流水，部分功能允许直接修改红包额度或充值金额。金融场景下弱口令的影响不止于数据泄露，一旦被恶意利用可直接转化为资金损失。

Oracle 数据库配置文件明文凭据连带泄露：WebLogic 弱口令 getshell 后，攻击者在部署目录下找到 JDBC 配置文件，其中明文存储了 Oracle 数据库的连接地址、用户名和密码。凭此直接连接后端数据库，可读取业务表和用户数据，并进一步探测内网中其他可达的数据库实例，中间件弱口令由此转化为数据库层全面失陷。

网上阅卷/考试系统弱口令暴露学生成绩与试题：在线阅卷平台或教育考试管理系统使用弱口令，且登录接口无验证码保护，密码可被批量爆破。登录后可访问学生成绩、考试答卷及评分规则；部分系统同时在 NAS 存储上以默认凭据存放考研复试题库和参考答案，弱口令入口与文件存储系统联动，敏感考试内容面临整体性泄露风险。

环保/空气质量监测系统弱口令允许数据篡改：地方环保部门的环境监测管理平台使用极简凭据，登录后不仅可以读取空气质量、饮用水和排污收费等实时监测数据，还可以新增或修改公开发布的监测报告，甚至直接下载后台数据库文件。监测数据的写入权限被弱口令暴露，危害从信息泄露延伸至公众健康数据的可信度。

城市道路交通监控探头批量弱口令：市政交通监控系统中大批量部署的路面摄像设备使用统一的弱凭据，且 IP 地址集中在特定网段，一份 IP 清单加上单个默认密码即可批量接入全市监控画面。与园区安防摄像不同，此类设备归属政府基础设施，覆盖公共道路、路口及人流密集区域，批量接管后可实时获取城市交通态势和人员行动轨迹。

社交营销后台弱口令允许伪造抽奖结果：运营商或品牌方的微信营销活动管理平台使用默认凭据，登录后可查看并修改大转盘、砸金蛋等抽奖活动的获奖概率、奖品配置和中奖名单，还可向全部关注用户下发优惠券和推送消息。平台内同时存储了所有托管公众号的账号密码和 AppSecret，单次弱口令入侵等同于接管整批微信运营账号。

物流快递管理系统弱口令大批量订单泄露：快递或货运平台的运输管理后台使用通用弱密码，登录后可查看包含收件人姓名、地址和联系方式的海量历史订单，累计数据规模可达数百万条。此类系统往往按业务线分别部署，多个相关后台共用同一套凭据，单点突破可横扫同一集团下所有子系统的订单数据。

ATM 与银行自助终端管理系统弱口令：银行自助终端的远程管理或图像识别后台使用空密码或极简凭据，登录后可访问终端日志、运行状态和图像识别算法配置文件。银行 ATM 管理系统的弱口令威胁超出数据泄露范畴：具备管理权限后可影响终端行为，部分系统存在劫持用户输入或篡改认证流程的潜在风险。

SSH/RDP 直接暴露且密码极简：服务器 SSH 端口（22）或 Windows 远程桌面端口（3389）直接对外开放，使用单词加特殊符号的低复杂度密码。攻击者直接以操作系统级别登录后，不经过任何 Web 应用层即可读取本机全部文件、执行任意命令，并在文件目录中发现其他内网服务器的连接凭据；操作系统弱口令将整台服务器及其所在内网段置于直接风险之下。

验证码复用使爆破防护形同虚设：登录接口虽设置了图形验证码，但服务端对同一验证码的使用次数不做限制，同一 token 可被重复提交。攻击者抓包后直接在爆破工具中固定验证码参数，以正常速率持续遍历密码，防爆破机制完全失效，最终以弱口令成功登录。

工程项目管理系统账号名含业务语义暴露弱口令：建筑、工程类企业的项目管理系统账号按项目部门命名（如工程局缩写加部门代号），密码规律与账号名高度关联。登录后可查看在建项目的合同金额、中标信息和资金台账，攻击者还可直接操作审批按钮，弱口令在工程管理场景下暴露的是具有真实经济价值的业务决策权限。

简历投递/HR 系统弱口令暴露求职者个人信息：媒体机构或企业内部的简历管理后台使用极简凭据，登录后可下载全部求职者简历，内含真实姓名、证件照、手机号码和邮箱等敏感个人信息。此类系统通常面向外部候选人收集数据，弱口令导致的泄露规模与平台知名度直接挂钩，且信息来源于真实填写而非爬取，数据质量高，极易被用于精准诈骗或身份伪造。

伪复杂密码满足策略规则但仍可预测：密码表面上包含大小写、数字和特殊字符，形式上通过复杂度校验（如 P@ssw0rd、Admin123!），但本质是常见单词的字符替换——a→@、o→0、s→$——这套替换规律在破解字典中已被系统收录。策略要求的形式达标与真实随机性之间存在巨大鸿沟，运维人员倾向于选择"刚好过检查"的最省力密码，导致符合策略的密码仍被快速破解。

强制修改密码机制形同虚设：系统要求首次登录强制修改密码，但服务端仅在前端流程上做了跳转，实际上并未将旧密码置为无效；攻击者跳过强制修改步骤，直接以初始密码发起请求，仍可成功登录。修改逻辑与认证逻辑脱耦，安全机制停留在界面层而未落实到凭据存储层。

行业协会/商会系统初始密码前台可见：行业协会或商会的会员服务系统将初始密码的生成规则直接写在登录页（如"初始密码为企业编号"），或在注册成功页面明文展示。结合会员名录或工商公示信息中可查询到的企业编号，攻击者无需猜测即可批量推导出所有会员账号的密码；整个认证体系的安全边界被写在了公开文档里。

低权限弱口令账号结合越权漏洞访问全量数据：业务平台设有普通账号和管理员账号之分，普通账号使用弱口令，管理员账号防护相对严格。进入普通账号后发现查询接口对 ID 参数缺少权限校验，修改参数值可遍历其他用户的订单、联系人和结算信息。弱口令提供初始立足点，越权漏洞完成数据全量覆盖，两者联动使得低权限入口等同于全平台数据访问入口。

售后服务/工单管理系统弱口令暴露大量客户数据：家电、物业、维修等行业的售后服务系统后台使用极简凭据，登录后可访问包含客户姓名、联系方式、地址和服务历史的海量工单记录，累计覆盖历年全部服务数据。此类系统按省份或区域分别部署但共用同一套凭据，单点突破可横扫同一品牌下所有区域子系统，数据规模随服务年限累积而持续扩大。

云盘/企业网盘弱口令横扫同组织内部系统：媒体、机关或企业内部的云存储平台使用常见弱口令，账号采用姓名拼音格式，密码为固定通用值。登录云盘后发现同一套凭据在该组织的办公系统、内容生产平台和员工通讯录上同样有效——多个内部系统在部署时共用了同一批初始账号密码，单一入口的弱口令实质上开放了整个组织的协作基础设施。

城市交通信号/市政控制系统弱口令赋予物理控制权限：市政交通信号管理平台或道路设施控制系统使用中间件默认凭据（如 tomcat/tomcat），且管理端直接对公网开放。登录后可查看并操控路口信号灯的配时方案和相位状态。与数据泄露不同，此类系统的弱口令直接映射为对物理交通设施的远程指令权限，错误操作可干扰真实路口的交通流，危害已超出信息安全范畴。

公路/道路运行检测平台弱口令允许篡改公共信息发布：省级公路运行检测与应急处置系统使用通用弱密码，登录后可修改公路状态显示信息（如封路、限速提示）、查看实时 GPS 定位数据及沿线摄像头画面。公路运营数据的写入权限被弱口令暴露，攻击者可向公众发布虚假路况信息，影响范围覆盖整条高速公路走廊上的驾驶行为。

Web Service/Axis2 管理端弱口令部署恶意服务：Apache Axis2 或 CXF 等 Web Service 框架的管理控制台使用默认凭据（如 admin/axis2），登录后可上传恶意 AAR 服务包直接执行任意代码，与 Tomcat WAR 部署路径同源。Axis2 管理端在企业 SOA 架构中广泛部署，但因其接口形态非典型 Web 应用，往往被安全扫描忽略，暴露时间远比常规管理后台更长。

保险/CRM 后台弱口令允许篡改对外服务渠道：保险公司或金融机构的用户服务后台使用简单凭据，登录后不仅可以读取用户信息和保单数据，还可以直接编辑绑定的微信公众号页面内容、活动配置和推送消息。对外服务渠道的管控权被弱口令后台掌握，攻击者可篡改客户接触到的所有数字触点，影响从数据泄露扩展至内容完整性和钓鱼风险。

企业编号即密码的商会/政务服务账号：部分地方政务服务平台或行业管理系统以企业统一社会信用代码或组织机构代码作为初始登录密码，账号来自公开的营业执照信息。企业代码在工商信息查询系统中完全公开，任何人均可批量获取，等同于账号与密码同时公开。由于密码与公开标识符强绑定，整个平台的认证安全性等于零，所有入驻企业的数据对外可互查。

多子站共用同一管理员账号密码：企业为旗下多个官方网站（主品牌站、子品牌站、区域站）统一配置了相同的管理员账号和密码，且均未修改。从任意一个权重较低、防护较弱的子站突破后，同一套凭据可直接登录品牌所有官网的管理后台，单点弱口令转化为整个品牌矩阵的同步沦陷；CMS 的内容管理权限、首页大图替换和用户管理功能均随之暴露。

泄露密码库驱动企业邮箱接管：攻击者在历史数据泄露库中找到目标人员的邮箱密码，直接以此凭据登录企业邮件后台，无需任何爆破。邮箱一旦接管，不仅可以读取所有历史邮件，还可以通过找回密码流程接管绑定了该邮箱的其他内部系统账号；密码在多平台间复用使得单次泄露的"有效期"远超事件本身。

WordPress 用户名即密码批量筛选：WordPress 博客程序的枚举接口允许遍历所有已注册用户名，攻击者批量获取账号列表后，以各账号的用户名作为密码逐一尝试登录。这类密码不出现在通用字典中，但只要知道用户名就等同于知道密码；企业 UED 团队、品牌博客等大量 WordPress 站点存在此模式，命中后直接进入后台并可编辑插件代码 getshell。

VPS 发布管理后台弱口令允许替换移动端应用包：APP 发布或移动端内容分发平台的管理后台使用姓名拼音加固定数字的弱凭据，且多个功能账号共用相同密码。登录后可直接替换 APP 下载链接或推送更新内容，将正版安装包替换为恶意文件；部分账号同时托管着加盟商或合作伙伴的用户资料，单次入侵的影响范围随业务关联方的规模同步扩大。

Discuz UCenter 弱口令串联论坛 getshell：Discuz 论坛在安装时设置的 UCenter 管理后台密码长期使用简单值，与论坛前台账号体系完全独立，往往不在常规密码策略的覆盖范围内。获取 UCenter 密码后通过已知利用路径可在论坛框架内执行代码；大型社区论坛一旦沦陷，不仅影响数百万注册用户的账号安全，还为进一步横移至同服务器其他应用提供了跳板。

IT 知识管理系统弱口令暴露内网运维凭据：企业内部的 IT 知识库或服务台系统使用默认弱口令，登录后在知识条目中存有运维人员整理的内网服务器远程连接信息——包含服务器 IP、用户名和明文密码。这类知识库往往按条目标题全文检索，攻击者搜索关键词"远程""密码""IP"即可快速定位凭据条目，无需任何扫描即可直接接管内网目标服务器。

省级系统弱口令叠加越权实现全国数据横扫：省级业务系统（如快递、物流、政务）为各省分别配置账号，账号密码格式为用户名加固定数字后缀，登录接口无频率限制。单省账号登录后，查询接口对省份参数缺少权限校验，修改参数可遍历其他省份数据。弱口令提供初始入口，越权漏洞将单省权限放大为全国覆盖，两者叠加使得局部突破等同于全量数据暴露。

电子商务客服系统弱口令暴露供应商全量账号：电商平台的客服管理后台对登录接口不设验证码，攻击者以员工姓名字典爆破命中弱口令账号后，后台不仅展示完整的商家和供应商账号列表，还允许上传促销广告内容。客服入口的权限设计往往高于预期——通过客服后台可直接接触到平台全部合作方的账号凭据和联系信息，影响面远超单个账号本身。

媒体集团多系统共用弱口令允许发布虚假新闻：媒体或传媒集团将云盘、办公平台、内容生产中心统一配置为相同的弱口令体系，账号采用姓名拼音格式。攻击者使用通用弱密码批量撞击，命中的账号在多个内部系统中同样有效。登录内容生产平台后可直接撰写、编辑并发布新闻稿件，弱口令在媒体场景下的危害已从数据泄露升级为内容真实性威胁。

企业邮箱弱口令泄露运营机密与内部协议：企业员工的工作邮箱账号使用姓名加数字的格式作为密码，且邮箱绑定了大量对外协作的业务往来。邮箱被接管后，攻击者可访问飞机维修排期、湿租航班协议、采购合同等高度敏感的运营文件；此类敏感度远超普通业务数据的信息通常不在 DLP 或访问审计的覆盖范围内，泄露发现极晚。

报表/BI 系统弱口令致全量订单数据批量导出：企业报表或数据分析后台独立部署，使用 admin/admin 等极简凭据，与主业务系统安全策略完全隔离。登录后可分页浏览或直接导出历年全量订单记录，数据规模以数十万乃至百万量级计，涵盖收件人、地址、金额等核心业务字段。报表系统往往不被视为高风险入口，实际上它承载着主系统所有业务数据的只读视图，一旦泄露等同于业务数据库全量外泄。

WebLogic 非标准变体凭据：WebLogic 控制台除了广为人知的 weblogic/weblogic 和 weblogic/weblogic123 之外，还存在 system/password、weblogic/weblogic1 等同样出厂预置的变体账号。安全扫描工具和防御策略往往只覆盖最常见的组合，非标准变体长期漏网；攻击者遍历完整的出厂凭据清单后，以这些变体同样可部署 WAR 包完成 getshell，利用路径与标准组合完全相同。

demo/调试端点未授权暴露账号名辅助弱口令攻击：系统在内部部署了未关闭的演示页面或调试接口，该页面不需要登录即可访问，且直接列出系统中已存在的账号名称（如 admin、test、内部员工名）。攻击者无需枚举账号——账号名已被系统自身公开，剩余工作仅是对已知账号逐一尝试常见弱密码。演示端点通常不在安全扫描的关注范围内，暴露时间往往远超主业务接口。

国产 CMS 后台弱口令结合内置上传直接 getshell：DedeCMS、帝国 CMS 等国产建站程序的管理后台使用默认或极简凭据，登录后通过后台内置的文件上传或"数据库恢复"功能直接写入 webshell，全程不依赖任何代码漏洞。与 WordPress 插件编辑路径不同，此类 CMS 的上传或恢复功能是核心功能而非扩展点，权限更直接；大量政府、高校、中小企业网站使用国产 CMS 且长期不维护默认凭据，利用窗口极宽。

内部通讯录泄露驱动邮箱大规模入侵：企业通讯录以各种方式对外泄露（离职员工携带、运营失误公开）后，通讯录中的姓名拼音账号与企业邮箱格式高度匹配。攻击者以通讯录中全量员工账号配合单一高频弱密码（如 123456）发起批量登录，未设速率限制的邮件系统对此毫无阻力。与内部横移场景不同，这里通讯录来自外部渠道，整个入侵过程在外网完成，且覆盖面接近全员。

金融/期权后台弱口令允许直接修改交易金额和品种：金融类业务管理后台使用 admin/admin 或 admin/admin123 等极简凭据，且存在多套功能相同的独立系统并行运行，部分仍为测试状态但已连接生产数据。登录后不仅可以查看用户身份信息和持仓记录，还可以直接修改购买的金融产品种类和金额并触发审核流程。弱口令在金融场景下的危害已超出数据窃取，攻击者掌握了对真实交易的改写权限。

政务/政府系统后台弱口令附带文件上传直接 getshell：政府或监管机构的业务平台后台使用 admin/123456 等默认凭据，登录后后台内置文件上传功能且对扩展名缺少校验，可直接上传 webshell。政务系统往往同时在内部网络中互联，获得 shell 后可继续扫描内网，横移至同网段其他政务平台；此类系统因不面向商业用户而长期处于安全扫描盲区，弱口令入口暴露时间以年计。

运营商业务支撑系统 demo 账号弱口令：ISP 或运营商内部业务支撑系统存在 test、admin 等 demo 账号，密码统一为固定弱值。系统承载着运营商用户信息、业务工单、账号权限管理等高度敏感内容，但因属于内网运营工具而缺少外部渗透测试覆盖。demo 账号与正式账号共用同一套权限体系，登录后可访问与正式账号相同的全量数据和管理功能。

建设/招投标系统多端口中间件默认凭据形成扩大暴露面：建设行业或政府采购类信息化系统将多个业务模块分别部署在不同端口（如 7001、7008、8080），各模块底层中间件统一使用 WebLogic 或 Tomcat 默认凭据。攻击者一旦发现任意端口存在弱口令，即可在同一主机上横扫所有端口，招投标公告、评标记录、合同数据分布在多个应用中同时暴露，单一入口形成多系统数据的一次性泄露。

整合营销/微信代运营平台弱口令串联托管公众号账号：品牌营销或代运营服务商的营销活动管理平台使用 admin/admin 等默认凭据，平台内不仅存放了抽奖活动配置，还统一托管了所有客户品牌的微信公众号账号、AppID 和 AppSecret。单次弱口令入侵等同于接管整批品牌的微信运营资产；与平台级后门账号不同，这里的入口是运营层管理界面，危害沿品牌客户数量线性扩大。

广电/有线电视管理后台重复账号弱口令：有线电视运营商的内容管理或用户系统中，同一账号被配置为账号名和密码完全相同的模式（如账号 111111 密码也是 111111），且多个类似格式的账号并行存在。这类规律在广电系统中普遍出现，攻击者无需字典穷举，直接以账号名作为密码即可批量验证，命中后可访问用户订阅信息及业务管理功能。

派件/快递末端配送系统弱口令暴露取件信息：快递末端配送调度后台使用 admin/123456 等默认凭据，且登录接口无验证码或失败限制。登录后可实时查看全部待派件订单，包含收件人姓名、联系方式和地址，并可操作件单状态——攻击者据此可冒充快递员拦截包裹或对收件人实施精准诈骗。

税务征管系统弱口令串联多机构横移：国税或地税征管系统使用中间件默认凭据，getshell 后 JDBC 配置文件中明文存储了连接多个税务局数据库实例的凭据。凭此凭据可依次连接同一内网中其他税务机构的数据库，单一入口突破后横移路径沿系统互联关系自然延伸，拿到的不是一个机构的数据，而是整条数据链路上所有节点的数据。

社保/公积金个人查询系统弱口令暴露社会保障数据：社保、公积金类政务查询系统使用中间件默认凭据，通过控制台部署恶意包 getshell 后，可访问后端 Oracle 数据库中包含参保人员信息、缴费记录和余额的业务表。此类系统因面向员工个人服务而在公网暴露，但安全投入远低于核心政务系统，弱口令入口长期存在且影响对象覆盖企业全员。

多套业务系统共用单一中间件实例导致联动沦陷：KPI 考核、CRM 客户管理等多套内部业务系统部署在同一台服务器的同一 WebLogic 实例下，共用同一个控制台账号。一旦控制台弱口令被利用，部署一个恶意包即可同时获取所有托管在该实例下系统的执行权限，多套系统的全量数据——包括绩效、客户关系、合同——在单次攻击中同步暴露。

弱口令+内置 SQL 执行接口形成数据库直接操控通道：业务后台使用弱口令，登录后发现系统内置了可直接输入并执行任意 SQL 语句的管理功能。攻击者无需经过任何数据库客户端，在 Web 界面即可完整读写后端数据库，等同于拿到了一个无需网络直连的数据库管理入口，且所有操作记录混入正常后台审计日志中难以分辨。

学术机构/出版社弱口令串联 MSSQL 提权：科研院所或学术出版机构的内容管理后台使用弱口令，登录后在目录中找到包含 MSSQL 数据库连接串的配置文件，凭此连接数据库后通过 xp_cmdshell 等存储过程直接执行系统命令完成提权。整条路径从弱口令到操作系统命令执行不依赖任何代码漏洞，全程利用合法功能和配置文件中的明文凭据，且高校/出版社系统往往长期不打补丁。

品牌零售终端助销工具后台弱口令附带任意文件上传：品牌商旗下零售或线下导购工具的管理控制台使用 admin/admin 等默认凭据，登录后在配置管理页面内嵌了文件上传功能且无类型限制，可直接上传脚本文件获取 webshell。此类系统因属于内部运营工具而缺少安全审计，往往与同服务器上的其他业务共享环境，getshell 后旁站数量可观。

连锁餐饮/零售企业财务与销售数据经测试账号泄露：连锁品牌企业内部的财务报表或销售数据分析系统保留了测试阶段账号（如 test/123456），该账号与正式管理员账号共享相同的数据读取权限。登录后可访问全国门店的实时销售统计、历年财务负债状况和员工薪资信息，测试账号不在权限审计范围内，长期有效且没有使用记录监控。

弱口令爆破后遭遇强制改密流程但可直接绕过验证：业务平台登录接口虽无验证码但有弱速率限制，爆破命中账号后系统弹出强制修改密码页面，表面上看需要先修改才能进入系统。实际上该流程只是前端跳转，直接拼接后台核心 URL 无需经过改密步骤即可直接访问；已命中的弱口令账号立刻可用，强制改密的安全意图完全失效。

弱口令与 Struts2 漏洞共存构成双重入口：部分系统同时存在后台弱口令和应用框架级漏洞（如 Struts2 远程代码执行），两个入口指向同一套服务器权限。防御方往往优先修复框架漏洞而忽视弱口令，导致框架漏洞修补后弱口令入口仍开放；攻击者无需依赖漏洞，绕开已修补的技术漏洞直接以弱口令登录后台，效果等同。安全修复的优先排序若只覆盖技术漏洞而不同步清理弱口令，防御边界依然存在缺口。

绕过方式

绕过手法	说明
慢速枚举	每次请求间隔数秒，绕过基于时间窗口的速率限制
分布式爆破	多 IP 轮换发起请求，绕过单 IP 封禁
凭据填充	使用历史数据泄露中的真实密码表，命中率高于纯字典
IP 白名单绕过	结合 SSRF 或内网跳板从白名单 IP 发起请求
SQL 万能密码	登录接口存在 SQL 注入时，构造永真条件（如 ' or '1'='1）绕过密码校验直接以管理员身份登录；本质是注入而非猜解，但功能等效于弱口令，白帽子报告中常归入此类

防御控制点

• 强制密码策略：最小长度、复杂度要求，禁止与系统名/域名相同，禁止常见密码
• 强制修改默认密码：安装/部署流程中强制要求修改默认凭据，CI/CD 检查禁止默认密码进入生产
• 登录失败锁定：连续失败超过阈值后锁定账号或 IP，阻断自动化爆破
• 暴露面收敛：管理控制台不对外网暴露，仅允许从运维跳板机或 VPN 访问
• 定期弱口令扫描：内网定期扫描弱口令，覆盖中间件、数据库、运维工具
• 凭据唯一性：不同系统使用不同密码，核心账号启用多因素认证