之前做路由器基本上只是开个VPN或Socks代理做内网，在拿到的机器上对内网进行横向拓展。但是这样会遇到以下一些情况：

1、有时网络卡容易丢包，探测漏洞时，由于超时没结果错过存在漏洞机器。2、有时开启VPN但死活连不上,这是最近几天遇到的，之前也偶尔遇到。

3、代理工具不支持ICMP等协议，代理后内渗没有那么丝滑。

4、密码暴破等多线程操作，代理卡，也容易误报(如超时错过正确密码)

由于上述问题，我决定直接从路由器上对内网进行横向渗透，当然如果上层或下层还有路由器的话，也可以尝试纵向拿上级或下级路由OS系统权限，然后路由上渗透在它下面的机器，这种情况是必须也只能在路由器上做渗透。

路由器上渗透的优点

1. 不受限制，比如同一个路由器下有很多网段，互相之间可能访问不了，你控有内网机器权限，横向也只能横向C段或它允许访问的网段。但是你拿到了路由器权限，它分几个网段，你直接从路由器，肯定能访问到，但是前提也是拿到路由器权限。

2. 外网路由器，一般都是能多协议上网的
   

3. 无杀软，不用考虑免杀问题

4. 监控少，目前很少见到在路由上部署监控的

5. 网关抓包，通过它上网的机器流量都可截获，如FTP、WEB密码等

6. 入口点，由于无杀软监控少可上网，留后门也不易被发现
   

   
   

路由器上渗透的缺点

1. 相关命令或工具少，横向操作不如常规Linux，更不如Windows
   

2. 存储空间小，若是需要落地大数据不太现实，时间成本会非常大

3.不要瞎配置，会影响到目标网络

测试环境

DrayTek 路由器  

ARM嵌入式Linux系统

NBT探测存活主机信息、MS17010探测主机漏洞

NBT探测主机信息(多网卡、MAC、IP、主机名) 使用UDP 137端口

OXID探测多网卡主机  使用tcp 135端口  两种方法互补

路由器ICMP探测内网存活主机

HTTP探测网页标题、TCP探测端口信息

其它功能自行测试,目前编译exe、lnx、mac、arm版,其它架构自行编译

http://k8gege.org/Ladon/LadonGo.html

LadonGo开源全平台内网渗透扫描器框架

LadonGo一款开源内网渗透扫描器框架，使用它可轻松一键探测C段、B段、A段存活主机、指纹识别、端口扫描、密码爆破、远程执行、高危漏洞检测等。3.8版本包含32个功能，高危漏洞检测MS17010、SmbGhost，远程执行SshCmd、WinrmCmd、PhpShell，12种协议密码爆破Smb/Ssh/Ftp/Mysql/Mssql/Oracle/Sqlplus/Winrm/HttpBasic/Redis/MongoDB/RouterOS，存活探测/信息收集/指纹识别NbtInfo、OnlinePC、Ping、Icmp、SnmpScan，HttpBanner、HttpTitle、TcpBanner、WeblogicScan、OxidScan，端口扫描/服务探测PortScan。

关于横向和纵向

发现有些同学还没搞清楚纵向和横向，横向很简单就是我们常说的C段，你也可以理解为同级，看下图192.168.1段横着一排都归路由器192.168.1.1管。纵向如192.168.1.1为192.168.1.X的上级，访问它需要向上，所以称之为纵向，因为它是直接上级，所以当我们处在192.168.1的任意一台机，也能访问到它，对它的渗透即可以说是纵向也可以说是横向，就像正方形是特殊的长方形一样，你说它是正或长都没错，只是一般来说我们没有突破到10.1段，还一直处于192.168.1段就算拿到了路由器。再看路由器1，假设我们当前在1.5机器，想渗透路由器1，是不能直接访问的，我们必须通过路由器2转发，或者渗透路由器2，直接通过路由器2向上渗透，才可以进入到10.1.10段路由器或通过它上网的机器，需要纵向渗透。假设你当前控制的是路由器1，需要渗透192.168.1.5机器，那么你需要向下渗透获取路由器2的权限或密码，通过它转发或直接在路由器2上做192.168.1.5的渗透，这个过程也是纵向。

如何获取路由器权限？

经常听说别人渗透路由器很历害，其实它只不过是渗透的其中一个方法而已。我们直接搞不下Web服务器或个人机时，才会考虑做路由器，并不是不会做。实际上路由器渗透并不难，你可以把它当成是一个阉割的Linux系统，但实际上拿它权限相对来说比拿一台Linux机器要简单。因为路由器基本上都部署有WEB，大量公开漏洞，且一般管理员也不升级固件，平时也很少登陆。但是Linux机器却不一定部署WEB，而且就算有WEB，管理员上机器检查或维护频率也很高，密码方面路由器的口令也比Linux的口令好跑。如以下例子，针对一些国家扫描就可轻易获取大量权限，上周扫目标某个B段，获取了160台路由，但是有关的就两台

【Ladon】Draytek路由器密码审计、CVE-2020-8515命令注入漏洞利用

〖教程〗LadonGO RouterOS路由器8728端口密码爆破

http://k8gege.org/p/LadonGoRosBrute.html

〖EXP〗CVE-2018-14847 RouterOS Exploit

http://k8gege.org/p/cve-2018-14847.html

PS: 摄像头、打印机、监控设备等也一样，但可能没有路由那么多优点

原文始发于微信公众号（K8实验室）：LadonGo 3.8 for Linux arm 路由器横向渗透内网