首先在此感谢@peas 给予的大力支持
警告:调试光猫有风险,折腾需谨慎,因此导致的设备损坏,请自行负责!!!
坐标:湖南电信
1 引言
因为F412光猫的糟糕体验和孱弱性能,遂决定拿到配置后换猫。
其实卡着的最后一步就是语音鉴权码,一开始是打算通过审查元素大法查看的,结果读出来密码是<!zte!>,这肯定是假的。
通过查看框架源代码,发现如下语句复现:
var index = "";var sepStr = "<!zte!>";
就此确认这个密码是假密码,真正的密码默认隐藏。
那好吧,咱们Telnet。
中兴F412光猫网上有大量教程,无非就是:
直接telnet 192.168.1.1
进去
键入:sendcmd 1 DB p DevAuthInfo
观察得到telecomadmin的密码
你确定这样就vans了吗???
但实际情况是,那些教程都是2012,2013年的了。后面的电信都关了telnet功能,一旦插了光纤,OLT注册之后,你根本连不进去,会自动关闭23端口,所以破解不了。
通过对以往中兴光猫的破解经验,中兴光猫一般没有telnet的使能界面,遂拔掉光纤,捅复位键10s以上。
PS:电信的光猫,早在N年前就阉割了复位键的功能,实际上并不会真正恢复出厂设置。
2 屑中兴不讲武德,来骗,来偷袭
通过上述方式成功进入telnet。
键入:sendcmd 1 DB p DevAuthInfo
得到密码
一开始还在狂喜,肿么和useradmin的密码一样啊
算了,拿到了就拿到了吧,直接进去。
进去之后,噔 噔 咚 !
居然没有进入超管的界面!
因此我怀疑光猫自动降权了,遂前往宽带技术网、Koolshare等论坛询问,无果。
*后来通过电信师傅获得真正的超密后,才知道中兴这套恶心的机制:
本光猫不仅仅telnet难进,进入之后也是在一堆信息上面造假:
sendcmd 1 DB p DevAuthInfo
中:确实可以查到所有的用户及其密码,但telecomadmin的密码显示的是useradmin的密码,俗称“阳密码”。
而通过电信师傅查到的真正的密码,我们称为“阴密码”。
使用阳密码进入,则为useradmin的权限。使用阴密码则为telecomadmin的权限。
sendcmd 1 DB p VoIPSIPLine
“:无法查到语音鉴权码,信息全部加密
3 我在地底,它在大气层
得,我们telnet也没法了,那我们干脆搞下来文件吧。
键入以下命令:
cd
(进入根目录)
cd userconfig
(进入/userconfig)
cd cfg
(进入/userconfig/cfg)
ls
(列出本目录下所有文件/目录)
观察可得我们所需要的三个文件:db_user_cfg.xml,db_backup_cfg.xml,db_default_cfg.xml
键入如下命令:
cat db_user_cfg.xml
(读取db_user_cfg.xml)
全部木大,直接卡死(文件太长)
既然您这读不过来,我们干脆把文件搞到web上下载下来得了。
键入如下命令:
cp db_user_cfg.xml /home/httpd
(拷贝文件到/home/httpd)
嗯,Read-Only。
这个好办,其实可以直接mount -o remount rw /
(重新挂载为可读写)
重新挂载后就能顺利cp了。
此时又有一个新问题出现了:无论是直接web读取还是下载,都提示404。
*这是因为电信的模板自动屏蔽/home/httpd的大部分文件的网页访问,即使有对应文件也提示404。
那么其实我们可以尝试下“调包”,将我们拷贝过去的配置文件替换为可以直接网页访问的gch。
经查,该光猫可用的几个gch如下:
return2factory.gch,bridge_route.gch,hidden_version_switch.gch。
键入如下指令:
mv return2factory.gch return2factory.gch.bak
(将return2factory.gch重命名为return2factory.gch.bak)
mv db_user_cfg.xml return2factory.gch
(将db_user_cfg.xml重命名为return2factory.gch)
注意使用FDM/IDM下载,直接网页保存后配置文件会被篡改。
下载下来文件后交给@peas 进行解密,答复:解密失败。
4 后记
本人到现在玩网络设备虽说不算资历丰富,但也玩了挺多了。但真的没有见到这样的难缠光猫:
FTP默认关闭且无法再打开(可以查到FTP用户名和密码,但是无法进入FTP),无法固化Telnet(甚至进入都需要费劲),没有USB接口(无法导出配置),没有导出配置界面,TTL需要自己补全(补全后有人试过,无法TTL跑出任何有效信息),甚至于Telnet信息还造假、各种隐藏,Shell是全的,但是搞出来的配置文件二次加密......
这些特征使得它的硬度近似基岩,应该是除了SDN光猫之外最恶心的光猫之一。