很多路由器都提供 Web 接口供用户配置和查看状态。本节我们将展示一个多阶段的攻
击，其中包括 XSS 注入，使得攻击者可以偷取路由器上的 WPA密钥以及判断路由器的物理
位置。该攻击一共包含 7 个步骤，如图 4 所示。由于我们的攻击于浏览器的行为密切相关，
因为第一步我们首先判断浏览器的类型。第二步扫描局域网来找到路由器。第三步采集路由
器信息以判断路由器使用的是哪种验证方法，从而决定使用什么默认密码。通过采集到的路
由器信息，我们也可以决定注入什么 XSS payload。第四步登录到路由器上。这一步对于以
下两种验证方法是很困难的：HTTP  验证和基于web 的验证。对于 HTTP验证，浏览器会

弹出窗口；而对于 web 验证，我们很难判断是否验证成功。第五步我们注入 XSS 到路由器
的 web 页面。在第六步中，攻击者取得 WPA密钥和 wifi MAC 地址并发送回给攻击者。最
后一步，攻击者使用 Mozilla 的 “Location-Aware Browsing”协议来物理上定位路由器。

我们制作了攻击实现的视频 (https://elie.im/video/badmem1.html)。我们在如下品牌的路
由器上测试了我们的攻击的可用性：Belkin, Netgear, D-link, Linksys, Buffalo, Zyxtel, SMC和
TrendNet。我们的攻击可以在所有这些路由器上实现。
然而，对我们的攻击要实现一个自动的路由器攻击程序比较困难，因为有严格定义的同
源策略和路由器过滤规则。针对我们 7 步攻击中的每一步实现，我们试验了多种方法，然而
多数情况是失败。安全补丁已经浏览器的更新迫使我们要有创造性。
1.  浏览器行为
为了实现我们的攻击，我们必须首先了解被攻击浏览器的细节。
Firefox：于攻击者来说，为了攻击 LAN 路由器，Firefox 目前是最好的浏览器。首先，
其允许向任意域名发送 XHR 请求。这使得我们可以实现一个有效的端口扫描工具。其次，
我们发现了两个 Bug，使得步骤 2，3 和4 的实现变得十分简单。第一个 Bug 让我们可以检
测路由器是使用 HTTP 验证还是 Web form  验证。第二个 Bug 使得我们可以暴力破解 HTTP
验证而不弹出 HTTP  验证错误的窗口。

Internet Explorer 8：E 是最难攻击的浏览器，因为除非脚本来自 file://否则坚决不允许跨
域 XHR 请求。这使得我们不得不使用图片 tags 上的 onError 事件来实现端口扫描。IE 的一
个更大的问题是关于使用 HTTP 验证路由器。自从 2007 年 11 月份开始的 IE 拒绝所有包含
用户名和密码的 URL。因此，我们没有办法利用 IE 来自动登录使用 HTTP验证的路由器。
我们的方法只能自动的攻击使用基于 web 验证的路由器。
Chrome：乎所有能够在 Firefox 上使用的方法都可以应用在 Chrome 上。

2.  搜索路由器
为了找到路由器，我们的端口扫描器将扫描所有 192.168.*地址段中所有可能是路由器的
IP地址，比如 192.168.*.1 和192.168.*.254。当能够使用 XHR 来扫描网络时，我们能够利用
其异步的属性来同时发出 512 个请求。
3.  搜集路由器信息
当已经找到路由器的 IP，我们通过一系列的测试来判断路由器的类型。这可以让我们知
道试验什么默认密码。我们首先扫描路由器是否除了web  端口80外还有其他端口是开放的。
另外基于我们已经提到的 Firefox 的 Bug，我们可以知道路由器是否使用 HTTP 验证以及测
试的密码是否正确。

4.  登录路由器
对于 HTTP  验证，我们要么测试所有可能的密码(Chrome)要么利用浏览器的漏洞
(Firefox)。对于使用基于 web 的验证方法的路由器，我们发现可以使用跨站请求伪造 (cross
site request forgery, CSRF)  来攻击这些路由器。然而，攻击这些路由器的真正困难并不在于
发送请求，而在于是否成功通过了验证。
目前，判断是否登录成的标准方法是基于计时攻击 (timing attack)。也有其他的可靠方
法来实现攻击。首先，跨站 URL 劫持 (cross site url hijacking, XSUH)利用 Firefox 错误捕捉
机制暴露了负责处理该错误的 URL。我们测试的一个 SMC 路由器在我们登录成功时会执行
跳转。因此，通过检查返回的 URL我们可以知道是否成功登录到路由器。
然而，最可靠的判断是否登录成功的方法是前文所述的 Framing leak attack (FLA)。该方