渗透测试中见过的最糟糕的管理员

• 域控的3389端口对外网开放，域管的用户名是Administrator，密码是公司名123

• 空域管密码

• 在UPS设备上启用telnet协议连接进行日常检查，且密码和域管的密码相同

• 公司规定禁止员工用管理员账户登录，但每个员工的电脑桌面上都有一个bat脚本允许他们自动提权到域管权限，用户名和密码写在里面

• 客户让我们部署了一个上网行为管理系统。之后一小时还没到，系统就拦截到他在访问一些不可描述的网站自动报警，这下他应该充分了解这个系统是怎么工作的了。

• 访客wifi没密码，连接进入内网后没有任何防火墙或端口上的限制

• 管理员直接用物理机分析攻击者发来的钓鱼邮件，结果泄露了自己的密码。

• 以域管权限运行的apache服务，上面部署了一个可以任意上传文件的web应用

• 域管用了8年和用户名一模一样的密码

• 防火墙的管理页面可以在外网用默认账密登录。

• 在我们使用mimikatz抓到管理员密码的明文后，管理员来找我们。要求我们不要把密码写在报告里。因为这是他所有账户（工作和个人）的通用密码，他不想改。

• 离职7年后回到之前的公司做渗透测试，发现7年前捕获的密码现在还在用于所有的系统。

• 公司把所有员工的Documents目录在一个公开访问的系统中备份了一份。

• 管理员用keepass管理所有的密码，但是keepass的密码写在同一文件夹的txt里。

• 所有域用户都有域管权限。

• 管理员定期修改密码的时候只是在原来的密码后面加顺序数字。

• 在密码审核期间发现竟然可以用一个人的密码登录所有账户，后面发现是这个人偷偷留的后门。结果我成了这件事的证人。

• 有人在星巴克用RDP连入域内远程办公，但他们上厕所时电脑无人看管且没有锁屏。

• 完美符合密码复杂度规范的弱口令：Admin@123（大小写、数字、特殊符号且大于8位）

• 在公共的github上创建一个存储库，命名为“秘密不共享”。

• 在应急响应后，告诉管理员他的密码已经被泄露，最好修改一下。然后管理员只是把密码最后加了个1

• 一个小型金融公司的运维为了省事，把所有用户账户都设成了域管。

• 应急响应的计划被当作秘密，以至于应该执行它的人都不知道它是什么。客户希望等到事件发生之后再对他们进行培训。

• 域管的密码是弱口令，且硬编码在运维使用的很多脚本里。因为太麻烦了，所以我们改不了它。

• 域管密码和访客wifi密码相同，且写在大厅的墙上。

• 共约50个域管，其中10个用户名和密码相同

• 这些设置的组合：密码永不过期，用户不能修改密码，明文密码写在描述字段里。

• 数据库中的密码字段使用base64加密。

• 在做应急响应时，管理员辩称他们没有将任何密码和客户的信息明文保存在磁盘上。因为保存的是图片格式，这“不是明文”。

• 他们有一个天才般的主意：让两个管理员各自携带域管密码的一半。当我问到万一其中一个人出车祸了怎么办。他们说：我们的桌面上都有一个写着完整密码的txt以防万一。

• 管理员桌面上的密码表。

• 名为“禁用所有wordpress更新”的wordpress插件，安装量超过10k。

原文始发于微信公众号（小黑的安全笔记）：渗透测试中见过的最糟糕的管理员