RouterScan V2.51 详细使用教程 and 进阶指南

Dolphin,北京,20150703

一、背景介绍

Router Scan 是一款路由器安全测试工具，它是由俄国的一位安全测试人员所开发的，他叫Stas‘M，目前该工具的最新版本为V2.51，是在2015年2月21日更新的。这款工具我用过两个版本，一个是流传最为广泛的V2.44，还有一个当然是最新的版本了。我先说一下最新版本与V2.44的区别。

更新内容：

1、当然是加入了支持更多品牌型号路由器的扫描；

2、主功能页面上新增了一个Search Results的功能板块，这个功能板块可以让你更快得从搜索结果中过滤出你所关心的主机情况，直接在工具上显示，而不用再进行文件转换了。

3、主程序新增了用户操作手册，它有两个版本，一个是英文版，另一个是俄语版。

4、新增程序设置功能"Setting and Teaks"，以前的旧版本中，是不能对程序进行其他功能的设置的，这算一大亮点。

5、新增PIN码计算器，"WPS PIN Companion" 这对于热爱WiFi安全测试的小伙伴来说，是个很不错的功能，大赞！

6、新增计时功能，这对于想评估该软件的效率或者统计工作效率的研究者来说，这项功能很实用。

二、功能介绍及使用方法

2.1 路由器扫描功能

RouterScan v2.51是我用过的路由器扫描软件中最容易使用，效果最好的，功能最全面的一个工具，成功率可以达到90%，非常适合新手和脚本小子使用。最为一款路由器安全测试工具，其最核心的功能当然还是在路由器扫描。

目前支持的品牌路由器有：@irLAN、3Com、AirTies、AnyData、AnyGate、ASUS、Belkin、C-motech

、Cisco、Conel、D-Link、DrayTek、ECI、EDIMAX、Gigabyte、GlobespanVirata、Huawei、Intercross、LevelOne、Motorola Mobility、NETGEAR、Netis、NeoPort、PacketFront、Pozitron、SI2000、Seowon Intech、SerComm、Tenda、Thomson、TOTOLINK、TP-LINK、TRENDnet、Upvel、Verizon、Vertex Wireless、ZTE、ZyXEL、Other/Various

除了少数几个国内的路由器品牌不支持以外，市面上90%的路由器品牌都已包括在内。

图一路由器主界面

通过扫描测试路由器，我们可以从结果中得出以下信息：1、开放端口；2、登陆用户名和密码；3、路由器名称或品牌型号信息；4、无线信号名称（SSID）；5、无线连接密码（KEY）；6、无线加密方式；7、PIN码；8、内网ip等有价值的信息。

它的使用方法很简单，只需要简单的两步操作，就能轻松扫描：1、输入你想要进行测试的IP地址或地址段；2、点击左上角的“Start scan”按钮；即可开始测试旅程。

在界面的底部有个进度条（图一种的第8部分），当前已完成的进度会填充为绿色，这样你就能知道你得测试进度到哪儿了。在图一的第9部分，这是显示程序的当前状态：1、Ready 表示程序已准备就绪；2、Scanning now 表示正在扫描；3、Scanning finished表示扫描已完成；4、Waiting for stopping threads…… 表示你在扫描过程中点击了终止扫描，但是扫描进程还没有来的及结束的状态。

在界面的第10部分：Active threads表示当前使用的活动进程有多少；主界面的第11部分：Total found 表示当前已扫描出多少个存活主机；主界面的第12部分：Good found 是指成功测试出路由器的登录用户名和密码的路由器数量；主界面的第13部分：表示扫描开始到现在花了多少时间，以及你多次扫描总共消耗的时间是多少。

测试完成之后，扫描结果会在主界面的第14部分显示。

2.2 结果筛选功能

此功能的作用是只显示你感兴趣的结果，其他扫描结果将自动过滤掉。在主界面的第5部分，我们可以在Text to search的文本框中输入我们想查找结果的关键字，点击Search all按钮即可。搜索的结果会在“Search Results”这个标签页上进行结果输出。比如我们想要查找结果里有没有TP-LINK的路由器，就可以做输入关键字进行查找，如图：

图2 查询功能界面

2.3 扫描模块

在v2.44版本中的扫描模块只有四个功能选择，而在最新版本中，新增了一个路由器扫描模块“Router Scan(main)”，如图3。

图3 扫描模块

扫描模块中共有五个功能选项，分别是：1、Router Scan(main)；2、Detect proxy servers ；3、Use HNAP 1.0 ;4、SQLite Manager RCE; 4、Hudson Java Servlet.

Router Scan(main)模块是新版本中默认选择运行的模块，要想做快速检测时，可以单独选择此功能模块就行，但是它的缺点就是，成功获取认证帐号和密码的概率会降低，因为很多路由器单靠暴力破解是行不通的。

Detect proxy servers，从字面上意思是检测代理服务器，但是它的具体作用，我暂时还没弄清楚，还请高手出来指点一二。我想应该是扫描检测可以作为代理的主机，以方便架设属于自己的VPN吧。

Use HNAP 1.0，使用HNAP协议里的漏洞对路由器进行安全检测。HANP是

Home Network Administration Protocol的缩写，即家庭网络管理协议。是一种基于 HTTP-SOAP 实现的网络管理协议，具有其它大多数网络管理协议的相同特征:远程认证登陆、远程配置、信息获取，配置执行生效等。这个协议允许设备厂商通过该协议对自己设备进行远程管理和配置，以方便更好得管理自己的设备，给消费者用户提供更好的技术支持。但是某些路由器厂商也因这个协议而爆出漏洞：HNAP命令远程权限提升漏洞。这个扫描工具正是集合了该漏洞的POC，成功得提升了路由器爆破的成功率，选择该模块之后，一些字典里没有的密码也可以被直接捕获到！

SQLite Manager RCE，利用SQLite Manager 远程连接设备中的数据库，进行配置信息的检索，以达到爆破的目的。

Hudson Java Servlet. 此功能还没测试过，因此具体作用未知。一般用上面这几个功能，它的爆破成功率已经高达80%，比市面上的很多扫描器要好很多，可称之为神器！

2.4 端口扫描

这款软件工具因为特定作用是扫描路由器，默认是扫描80、8080端口的，但是它也可以作为扫描其他WEB服务端口的一款扫描器，帮你快速寻找可能存在安全漏洞的主机，比如你可以添加HTTPS服务的443端口进行扫描，然后再用其他更专业的漏洞扫描软件针对存在443端口的主机进行漏洞扫描，给修补漏洞提供依据，从而更好的保护自己公司的网络。当然这里建议是扫描与WEB服务相关的端口，因为它端口扫描是基于建立TCP连接进行扫描的，扫描太多端口有可能会触发防火墙之类的设备报警，会影响到最终的扫描结果。

三、实战案例

3.1 案例一：路由器安全测试

1、设置软件参数，最大线程数使用默认的300就可以了，太高了会影响扫描成功率，建议在100-300之间，当然这也跟你的个人电脑的配置还有带宽等因素有关，如果配置带宽都很高，可以适当调高；设置超时时间，使用默认的2000就可以了；扫描端口：80、8080、1080；Scanning modules : Router Scan(main)，Use HNAP 1.0 ，就勾选这两个就足够了。最后再设置一个你想要测试的地址段，设置参数就完成了。如图：

图4 参数设置