虽然 UPNP 在几乎所有的无线路由器上都会使用，但绝大多数人并不了解如何通过
UPNP 来对无线路由器进行攻击的手段。
下面就使用一款基于 Python开发的 UPNP客户端工具进行实战操作，该工具可用于
搜索、查询以及与UPNP 设备交互，尤其是Internet Gateway 设备(也就是我们常说的路
由器)。该工具可担负起对现有网络中启用UPNP的设备的审计工作，包括主动与被动式探
测UPNP、查询特定的设备/服务、向UPnP服务/设备发出指示等。
1．扫描及确认开启 UPNP 的网络设备
    对于攻击者而言，第一步当然是需要扫描开启 UPNP 的无线设备，需要说明的是，扫
描时间会根据所处环境的无线设备不同而不同。在输入 msearch 命令后，稍等片刻，即可
出现如下图 1-5 所示内容。一般来说，家庭及办公用小型无线网络环境中只有 1 台无线路
由器，所以一旦扫描出该无线路由器后，可以使用 Ctrl+C 将扫描终止。

2．获取远程设备参数及资料
当已经扫描出网络内开启 UPNP 的无线路由器后，可以使用一系列命令来进行深入资
料的获取，比如可以发送一些指令从 UPNP 获取该网络设备的基本信息、IP 地址及端口等
更多信息。
    如下图1-6所示，可看到该DLINK SOHO路由器的IP地址、Xml文件存放位置及UPNP
Server类型等信息。这里该路由器内置UPNP Server显示为IGD-HTTP/1.1 UPNP/1.0
UPNP-Device-Host/1.0。

    类似地，如下图1-7所示，在对日本的BUFFALO无线路由器测试时，可清楚地查看到其
IP地址、Xml文件存放位置及UPNP Server类型等信息。这里UPNP Server显示为
Linux/2.4.20，UPNP/1.0，Intel SDK for UPNP devices /1.2。也就是说，攻击者甚至可
以从中看到该无线路由器的Linux内核版本。

3．查看详细的无线路由器参数及资料
    除了查看基本的信息外，还可以通过 UPNP 显示详细的网络设备资料，比如公司名称、
产品类型、设备型号、内部设计号等。该参数将有助于攻击者判断出具体的网络设备型号。
为了方便读者查看及参考，下面以几款不同厂商的不同型号 SOHO 用无线路由器为例，分
别给出具体抓图。
IPTime 无线路由器:由下图 1-8 所示，在最上面“InternetGatewayDevice”标识下，
可以看到在“manufacturerURL”即制造商网址处给出了 iptime 厂商的中国官网，而在
下方“modelName”处显示为 ipTIME N100R，即该设备的具体型号。在“friendlyName” 
和“modeDescription”处，可以看到显示为 Zioncom ipTIME N100R Gateway，即
为 iptime 的无线路由器产品，该型号可以在网上直接查到。知道了具体型号，对于攻击者
而言，就可以根据该型号进行其它漏洞的查询。

Belkin 无线路由器:由下图 1-9所示，在最上面“InternetGatewayDevice”标识下，可
以看到在“manufacturerURL”即制造商网址处给出了 belkin 厂商的官网，而在下方
“modelName”处显示为 Enhanced Wireless Router，即强化型无线路由器。在
“modeNumber”处，可以看到显示为 F6D4230-4 v1，即为 Belkin 的无线路由器产品，
该型号可以在网上直接查到。
该型号无线路由器已经被爆出存在安全隐患，所以知道了具体型号，对于攻击者而言，
就可以根据该型号进行安全漏洞的查询。在前几期的黑防里，我已经发文提到了这方面的内
容。