在熟悉了 UPNP 后台配置参数后，就可以与很多种不同的攻击方式配合来达到目的。
有国外安全小组曾发布了关于一种通过 UPnP 功能来渗透网络设备的方法：即只需要让内部
用户访问一个恶意的 SWF 文件，该小组成员就能够通过该 Flash 中的 URLRequest 参数
获取到 UpnP 的控制位，从而实现从外部重新配置该网络设备的目的。
首先的研究应该是分析不同类型 SOHO 路由器的请求报文内容及对应参数设定。我举
一个例子，如下为通过嗅探捕获到的 IPTime 无线路由器的开启 UPNP 功能的 POST内容： 
 

 
POST
http://192.168.7.1/cgi-bin/timepro.cgi?tmenu=background&smenu=reboot&act=&c
ommit=upnp&hostname=&autosaving=1&fakedns=0&nologin=0&wbm_popup=1&upnp=1

     这里 192.168.7.1就是该无线路由器的内网 IP 地址，而 upnp=1即为开启 UPNP 功
能， upnp=0 即为关闭 UPNP 功能。然后我们再来看构造恶意页面的思路。（注：关于 Adobe
PDF Reader 这个漏洞的详细描述大家可以参考 CVE-2008-1654公告。）思路具体如下： 
 1、首先，创建一个包含请求目标 UPnP 控制点的 URL URLRequest 对象的 MXML
文件。比如类似 http://192.168.0.1/upnp/control/igd/wanpppcInternet 这样的地
址，这是 SOHO 路由器内置的 PPP 控制点。正如上面举的例子，这个内网 IP 地址并不固
定，只需要通过改变网址以符合他们的设置即可。
 2、然后定义 POST 请求数据的内容，如将 SOAP 信息添加到 portforwarding规则，
修改 contentType内容、SOAPAction 头部信息等。
经过反复测试修改后，就可以构成一个可以远端修改配置 UPNP 功能的 mxml 文件。
当然，这只是一个思路，同样地，可以用于针对路由器的 XSS 攻击时使用，如下图所示为
在 IPTime家用无线路由器上弹出一个文本为“XSS”的简单窗体。限于篇幅，这里就不再
深入讨论。