upnp

 电信光猫允许的UPNP动作名

动作名 AddPortMapping 创建新的端口映射

NewRemoteHost 在大多数情况下 这将是一个空字符串

NewExternalPort NAT网关侦听的外部端口

NewProtocol 端口映射的协议 可能的值是TCP或UDP

NewInternalPort 内部客户端相应的内部端口

NewInternalClient 内部客户端的IP地址

NewPortMappingDescription 在用户界面显示端口映射的描述

NewLeaseDuration 以秒为单位 为0表示端口映射为静态

AddPortMappingResponse 动作名前置在'Response'前

SOAP 1.1-1.2规范

Envelope/Body元素

curl -s -H -d

我这里给出SSDP载荷(参考Mirai变种 M-SEARCH * HTTP/1.1\r\nHOST: 255.255.255.255:1900\r\nMAN: \"ssdp:discover\"\r\nMX: 1\r\nST: urn:dial-multiscreen-org:service:dial:1\r\nUSER-AGENT: Google Chrome/60.0.3112.90 Windows\r\n\r\n)

M-SEARCH * HTTP/1.1\r\nHOST:192.168.1.1:1900\r\nMAN:"ssdp:discover"\r\nMX:5\r\nST:ssdp:all\r\n\r\n

只用socket的sendto和recvfrom找到Location,timeout设置为5

wget这个url,然后在文件中找controlURL,这里的UUID和Location中的UUID不同,不要去掉:1.

(其实你在文件资源管理器中的网上邻居中会看到Broadcom ADSL Router)

(Custom/1.0 UPnP/1.0 Proc/Ver 这是电信的Server)

动作名 GetExternalIPAddress 检索外部IP地址

动作名 GetConnectionTypeInfo 检索当前连接类型(也许是IP_Routed 即网关是LAN和WAN连接之间的IP路由器(路由模式))

要有SOAPAction

狩猎愉快

评论

发表评论

此博客中的热门博文

制作Windows远控(序言一)

章节一   关于Windows远控的一些事  想要做出来,你必须了解:  Win32 API.不仅仅,比如如何注入Shellcode,所以须了解asm,也就是x64/x86汇编.  C/C++的语法,标准库,数据结构等(或者你用其他的高级语言例如C Sharp),Socket etc.  为了继承www.yuque.com/wormwaker/tkpgqw/ppfnlcaqdkcsfmkd (有几个标识符(方法) 比如"显示器" "压缩文件"的声明 我们不再重定义)的伟大叙述 我于是成了它的子类. 章节二   驱动程序 比如CreateFile先经过kernel32.dll, 然后经过kernelbase.dll, 再由它调用ntdll.dll中的NTCreateFile 触发系统调用,进入Ring0 杀毒软件通过替换劫持已经加载的ntdll.dll的内存映像, 在函数里面添加jmp指令 这就是inline hook ntdll.dll进入ring0的方式是通过syscall指令 研究人员逆向分析了ntdll系统调用的编号和参数 然后在用户态自己实现了一套等效的syscall封装 这就是直接系统调用绕过 再看安全产商是如何应对的 CPU执行函数时要把调用者的返回基址压到栈上 然后跳转到函数所在的位置 这样函数执行完才能找到回来的路 syscall也是类似的跳转 如果是正常的用户态api调用流程 调用链会先经过ntdll,再由它发起syscall,也就是说, 当从内核返回到用户层时 栈顶的返回地址应该位于ntdll的地址范围 但如果由攻击者直接在用户态自己执行syscall, 此时当ring0返回时, 栈顶的返回地址就会落在主程序模块内 引用自github.com/AzidoPP的视频 纠正了若干错别字 ring0用于内核代码和驱动程序,驱动程序的文件扩展名是.sys. 我们可以用SCM方法加载驱动 比如MD5是dfb69795d1991da6f9edaa38d2a71427的A1SysTest v0.3.0.1.exe就用的是SCM方法. 用WinDbg验证 0:006...
阅读全文

制作Windows远控(序言二)

章节三(奇特的根本规矩) 0 在远控的代码混淆和反分析措施中投入的精力应至少与开发远控本身一样多. 1 只用rootkit,bootkit则其它的人才去做(Contact t.me/bytecategory) 2 remember make it clean. 3 AV only     not EDR  在sandbox{.}qianxin{.}com/blog/2025/12/18/tq-sandbox-BYOVD-detect-attack/ 来自奇安信的guys似乎认为BYOVD是最隐蔽 危害性极强的操作. 但从securelist{.}com/finspy-unseen-findings/104322/ 可以看出FinFisher至少领先了他们14年..... What Can I say?QiHoo Out! 4 还有gfwvector的rules 忘在哪了?         
阅读全文

a dcerpc scanner under development

import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect(('127.0.0.1',135)) s.send(bytes.fromhex('05000b03100000007400000002000000d016d016000000000200000000000100c4fefc9960521b10bbcb00aa0021347a00000000045d888aeb1cc9119fe808002b1048600200000001000100c4fefc9960521b10bbcb00aa0021347a000000002c1cb76c12984045030000000000000001000000')) s.send(bytes.fromhex('050000031000000018000000020000000000000000000500')) core code is as above from scapy.fields import ( LEShortField, PacketLenField, PacketListField, StrFixedLenField ) from scapy.packet import ( Packet ) # issubclass(IP,Packet)->True from uuid import ( UUID ) # 通用唯一标识符版本一 from scapy.layers.dcerpc import ( DceRpc5Request, DceRpc5, DceRpc5Bind ) from scapy.layers.msrpce.all import ( find_dcerpc_interface ) from scapy.all import hexdump class WBZ7j(Packet): name = "WBZ7j" fields_desc = [ LEShortField("cn_ctx_id...
阅读全文