宽带技术网

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 58276|回复: 455

华为光猫获得Root Shell(shell的root权限)详细说明,接力sdgaojian发帖。

    [复制链接]
发表于 2016-8-24 11:40:19 | 显示全部楼层 |阅读模式
首先要深深感谢“晓风残月”,没有他的深入研究、详细说明、以及程序贡献,就不会有所谓的Root shell;0 G( ]5 H/ \7 A# k, t- U) n
其次感谢sdgaojian,没有他的实践、介绍,我就根本不可能解决问题!
6 H0 n" f( G6 w4 U/ R9 _3 D7 ^" e
0 g8 k! u; ?$ V& O1 w3 J' J为了方便各位坛友阅读,我先进行无差别扫盲:  q6 \5 ^. r: ?# ?$ E
HGU:Home Gateway Unit 家庭网关单元,说白了就是直接可以充当路由器的光猫(甚至可能封掉了桥接的功能);
+ x0 H! C+ N3 G, t% Q/ qSFU:SingleFamilyUnit,单个家庭用户单元;8 c) C* T6 ^% ?5 W0 J
SBU:SingleBusinessUnit,单个商业用户单元;( q) e! A- B  t
MDU:Multi-DwellingUnit,多住户单元;$ R2 i. @8 L8 k9 q0 G. y( e
MTU:Multi-TenantUnit,多租户单元;4 ^. }# _) O# b$ v0 B  u
EPON:Ethernet Passive Optical Network,以太网无源光网络(理论上GPON技术更优于EPON,但实际使用上各有千秋)! \9 m3 U* g  X: G
GPON:Gigabit Passive Optical Network,千兆无源光网络* o% e+ j0 O8 Y) F9 b0 V; B+ \. z
ONU:Optical Network Unit,光网络单元(ONT是ONU的组成部分),我们可以理解为ONU是多局域网口的光猫,而ONT是单网口的光猫。
0 A! O+ K+ L! ~5 A. w# q  A$ M$ FONT:Optical Network Terminal,光网络终端。
+ ?: V) B. o3 F7 J" h! N3 ?' G2 v
( m  g7 o$ k2 r8 w1 L问题描述:
  b; `4 l9 O# ~, ~4 D我目前家里使用的光猫是烽火HG220G-U,北京联通EPON ONU定制版。各种被锁,无法搞定,因此网购了新光猫准备替换,网购的是华为HG8347R,联通天津HGU-EPON定制版。为了达到光猫替换的目的,我们必须先修改华为HG8347R的/mnt/jffs2/hw_boardinfo.xml硬件配置文件中的设备MAC地址为烽火的MAC,来欺骗局端。要修改该文件首先需要获得系统shell的root权限。HG8347R的web管理员帐户密码没有被锁,标准的华为telecomadmin/admintelecom,进入后开telnet,再使用终端登录,用root/admin可进。如telnet被封,可使用华为专用使能工具开telnet。telnet的WAP命令字符界面下,使用命令su,进入SuWAP,再敲入shell,进入busybox,发现被阉割,ls、cd 、vi等基础指令都禁止使用,怎么办?发现了sdgaojian关于ROOT Shell的帖子,研究之。$ q9 d9 V" E2 v) H* y

8 E" U& w% r4 Q4 X( @问题处理:7 @) L0 V% z: I
根据sdgaojian的帖子,得知已有由晓风残月提供的解决方案,但具体使用过程中,表述的不是很清楚,这里我详细说明下。
' {/ ^* {) H' [/ p1.我们分别需要tftpd、puttygen、putty三个程序,和晓风残月编译好的payload-mod程序包(内含payload-mod.bin、dropbear、duit9rr.sh、hostkey四个关键文件)。
7 q, V0 _2 b/ ^# }9 C1 B* D9 s# v% b4 A! [
, d' g# k" V  w, Z1 w! w- V7 H
2.运行puttygen分别生成RSA公钥和私钥
! r9 }! W7 g+ }8 I  a.点击生成证书,提示在界面内移动鼠标生成随机数据,不停移动鼠标一会儿后,证书生成:5 Q0 @+ u0 e) w- {% C+ Q
% ?9 p- V) |8 h. R+ Q2 u8 y
  b.获得公钥:上右图中字符串即为authorized_keys,可以复制另存为rsa.pub文件得到,也可点击“Save public key”,另存为rsa.pub文件得到(该文件上传至HG8347R系统后会被duit9rr.sh脚本自动改名为authorized_keys)。后续公钥会连同payload-mod程序包一起使用,公钥主要用于配合ssh服务器端(dropbear)使用。

3 U3 P% `* T, _' n  j5 W$ @  c.获得私钥:点击“Save private key”得到与公钥相配套的私钥文件(PPK结尾),即为用于ssh客户端使用的私钥文件。8 e  S2 B( c8 k8 I

. r9 O; K" U0 h* e0 Y! a" Q! b
. g1 b2 N8 A5 j; m  {" Q+ v+ M3 }3.方案思路:先使用telnet登录HG8347R终端,然后将payload-mod.bin文件通过指令从tftpd服务器上传到HG8347R系统并自动加载执行,结果为HG8347R系统自动调用并执行duit9rr.sh脚本,分别再将dropbear、hostkey、rsa.pub从tftpd服务器上传至HG8347R系统后,自动启动SSH服务器dropbear。然后我们再在pc端运行putty,登录SSH,获得ROOT SHELL权限。: v# a8 y, i) c' g6 @& u
0 j0 b$ d4 D) `& m
4 u, a: H3 V' L  H1 g
4.具体步骤:
+ N8 e" |- K8 D9 j  a.确认光猫IP为192.168.1.1,设置连接光猫的PC的ip为192.168.1.2。运行tftpd,指定网卡为192.168.1.2。将payload-mod.bin、dropbear、duit9rr.sh、hostkey、rsa.pub五个文件放至tftpd同目录下;5 o. K9 R. D2 J2 t; z

& v$ J. J( {+ O  s6 F, O  b.telnet登录192.168.1.1,使用用户名:root,密码:admin登录。在WAP命令字符界面下,输入加载指令:2 F  a; Q$ t: j1 {, V
load pack by tftp svrip 192.168.1.2 remotefile payload-mod.bin2 R# o4 D( g9 g) A3 a7 S  H
     如一切操作正确会显示:
% a& ~' a' h. E; Z# ~- xWAP>load pack by tftp svrip 192.168.1.2 remotefile payload-mod.bin success!
# P  q" ]$ {2 g/ r) F, ~WAP>Software Operation Successful!RetCode=0x0!
" }) W  b* f* F' Y  c.在PC端运行putty,进行配置,服务器ip:192.168.1.1,端口:2222,登录名:root,auth证书:选择您生成的PPK结尾的私钥文件。' G* x. ?& ~# {/ a+ [
1 G  y, Z9 X9 z( y; D
  
+ Z& K! R- h* t# f9 M  a6 Q
    确认配置正确后,点击Open按钮,呵呵登录成功了。% v+ ^" R1 i, Z- @

. J: b" X0 C' u2 [& A
    经过验证,已经获取root shell权限,下面的不用我教了,呵呵。祝各位愉快。相关文件我会一并提供。

$ ?. T2 O" e) B$ M8 z) L% P$ z

$ V0 S0 y) S% [. z3 I; Q, k

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

点评

2017年的HG8120C,V300R016C10SPC115 操作成功!十分特别感谢!这帖子太宝贵了!  发表于 2017-7-2 15:24
感谢 ! su_wap下load pack HG8245V100R006C00SPC125 开启ssh shell成功,但重启后无效,,有办法解决重启问题吗?!!  发表于 2017-3-31 01:24
技术性强,实用性弱。能说明在哪个固件版本下试验成功就好了!  发表于 2016-12-15 18:19

本帖被以下淘专辑推荐:

  • · 8145|主题: 3, 订阅: 0
 楼主| 发表于 2016-8-24 11:58:34 | 显示全部楼层
压缩包内提供一份配套的公钥和私钥,文件都已经放到相关的程序目录内,直接使用即可。

点评

非常感谢楼主的方法!强调一点:电脑IP必须设置为192.168.1.2,而不能是其它的。因为楼主提供的文件中已经预先定死了电脑的IP  发表于 2017-7-2 15:53
发表于 2016-10-31 22:49:03 | 显示全部楼层
确认楼主的方法是有效的,我的版本是V3R16C00SPC100固件!前提是把光猫IP改成192.168.1.1,SSH端口设置为2222不是默认的22,很多人卡在这里吧!证书可以直接用不用自己生成也可以的!
发表于 2016-8-25 14:13:36 | 显示全部楼层
这个获取方法是用于16固件吗?15的不知道适用吗?
发表于 2016-8-25 12:01:29 | 显示全部楼层
来学习的,虽然不是很懂
发表于 2016-8-25 11:56:34 | 显示全部楼层
虽然我现在没有用到最新固件,但是这个必须要收藏。顶起········
发表于 2016-8-25 16:21:44 | 显示全部楼层
怎么回事 还是连接不上呢 麻烦解答一下呢  谢谢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

点评

系统拒绝了你的公钥!也可以理解为公钥和私钥不匹配!重新再试一遍!  详情 回复 发表于 2016-11-1 08:30
你的问题解决了吗?我还是链接不上呢  详情 回复 发表于 2016-10-12 23:53
你的问题解决了吗?我的也是一样的提示  详情 回复 发表于 2016-10-12 23:53
仔细看提示信息,说你的证书不对,你要好好看我的教程。  详情 回复 发表于 2016-8-26 13:51
发表于 2016-8-25 07:42:56 | 显示全部楼层

本帖最后由 setttt 于 2016-8-25 07:57 编辑 ( W! [1 O" U) Z& {
: R& Q' f5 ]9 ]7 F" v4 h$ a
一早坐上高铁就看到这个,是与我完全不同的思路和解决方案,支持—下!
3 O4 L2 {. J8 O
9 N. {" k1 A8 w3 s高版本固件的网友可以试—下,V300R016C00SPC100或V300R016C00SPC102试验可行不,据我实机试验,从R016C00SPC102开始之前所有的破解方法、包括各种华为使能工具已经失效!

点评

V300R016C10SPC115,同样是非常好用!本来的telnet的shell阉割到只有exit这一条命令,用楼主方法实现了全能shell,真的太好了!  发表于 2017-7-2 15:29
V300R016C00SPC100 我的这个版本可以使用!能获取权限且命令基本都可以使用!  详情 回复 发表于 2016-11-1 08:28
发表于 2016-8-25 08:36:44 | 显示全部楼层
如果有固件文件,修改root fs是可行的, 无论R016什么版本。

点评

要修改固件没那么容易!有很多问题  详情 回复 发表于 2016-8-27 22:26
发表于 2016-8-25 09:50:59 | 显示全部楼层
这个给力,收藏备用!
发表于 2016-8-25 09:52:39 | 显示全部楼层
本帖最后由 hotpop 于 2016-8-25 09:55 编辑 % Q+ n& P# O: L6 X, v' v
2 p# ?) D7 [' z" c8 U' f5 y
感谢LZ提供方法和思路,这5猫粮花的太值了。。哈哈
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|宽带技术网 ( 粤公网安备 44152102000001号 )|网站地图

粤公网安备 44152102000001号

GMT+8, 2020-7-11 18:17 , Processed in 0.024026 second(s), 23 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表