首先要深深感谢“晓风残月”,没有他的深入研究、详细说明、以及程序贡献,就不会有所谓的Root shell;- w; _, ~8 q: J4 Q/ E% W
其次感谢sdgaojian,没有他的实践、介绍,我就根本不可能解决问题!
( V5 [. T$ F2 V \0 a) d4 T, z2 r: i1 P" a6 \
为了方便各位坛友阅读,我先进行无差别扫盲:8 E* [' S: h0 @
HGU:Home Gateway Unit 家庭网关单元,说白了就是直接可以充当路由器的光猫(甚至可能封掉了桥接的功能);
" K4 Q% w) E+ m C4 X1 m1 `- OSFU:SingleFamilyUnit,单个家庭用户单元; f4 z: T0 F; G7 F: c `
SBU:SingleBusinessUnit,单个商业用户单元;
! k! b$ @' y) i+ J( JMDU:Multi-DwellingUnit,多住户单元;
8 f+ J; u0 X4 }MTU:Multi-TenantUnit,多租户单元;& U. U0 E3 O* l
EPON:Ethernet Passive Optical Network,以太网无源光网络(理论上GPON技术更优于EPON,但实际使用上各有千秋)
" r% Y: S5 c/ S# C! H: r7 z1 IGPON:Gigabit Passive Optical Network,千兆无源光网络
d% f2 ~+ M9 ^7 Y4 V- j xONU:Optical Network Unit,光网络单元(ONT是ONU的组成部分),我们可以理解为ONU是多局域网口的光猫,而ONT是单网口的光猫。+ L6 `! z7 p. r
ONT:Optical Network Terminal,光网络终端。& E4 }; U! v0 {0 E- R7 V
- {, S* r- G1 x
问题描述:7 g! M- g( I, ^" o+ m, R
我目前家里使用的光猫是烽火HG220G-U,北京联通EPON ONU定制版。各种被锁,无法搞定,因此网购了新光猫准备替换,网购的是华为HG8347R,联通天津HGU-EPON定制版。为了达到光猫替换的目的,我们必须先修改华为HG8347R的/mnt/jffs2/hw_boardinfo.xml硬件配置文件中的设备MAC地址为烽火的MAC,来欺骗局端。要修改该文件首先需要获得系统shell的root权限。HG8347R的web管理员帐户密码没有被锁,标准的华为telecomadmin/admintelecom,进入后开telnet,再使用终端登录,用root/admin可进。如telnet被封,可使用华为专用使能工具开telnet。telnet的WAP命令字符界面下,使用命令su,进入SuWAP,再敲入shell,进入busybox,发现被阉割,ls、cd 、vi等基础指令都禁止使用,怎么办?发现了sdgaojian关于ROOT Shell的帖子,研究之。
. q1 x) f$ ? r4 R# T( ~$ a# j* K- @
问题处理: _* b7 S- M9 y7 z2 }& a, p
根据sdgaojian的帖子,得知已有由晓风残月提供的解决方案,但具体使用过程中,表述的不是很清楚,这里我详细说明下。; _* g/ U$ j1 G# d: I
1.我们分别需要tftpd、puttygen、putty三个程序,和晓风残月编译好的payload-mod程序包(内含payload-mod.bin、dropbear、duit9rr.sh、hostkey四个关键文件)。! @$ m+ D& ~6 p$ X! n
2 L4 R( s( H& h4 z$ q5 Z
' y$ X" W. g: Q* }4 X b4 t; V0 X2.运行puttygen分别生成RSA公钥和私钥
. Z: k% b; u; ?% f5 ~/ G a.点击生成证书,提示在界面内移动鼠标生成随机数据,不停移动鼠标一会儿后,证书生成:
, A4 Q4 u2 M; F' M" R) J
" X2 {" d# r# i9 ?, w, A b.获得公钥:上右图中字符串即为authorized_keys,可以复制另存为rsa.pub文件得到,也可点击“Save public key”,另存为rsa.pub文件得到(该文件上传至HG8347R系统后会被duit9rr.sh脚本自动改名为authorized_keys)。后续公钥会连同payload-mod程序包一起使用,公钥主要用于配合ssh服务器端(dropbear)使用。
) S: Z5 `! f) u8 D W" l c.获得私钥:点击“Save private key”得到与公钥相配套的私钥文件(PPK结尾),即为用于ssh客户端使用的私钥文件。0 m5 j- n8 M9 W$ \. v U: `' A, ]3 `
G% M% \% L) }+ n: X
' b$ F; D* M; p2 G1 O' ?9 I, L
3.方案思路:先使用telnet登录HG8347R终端,然后将payload-mod.bin文件通过指令从tftpd服务器上传到HG8347R系统并自动加载执行,结果为HG8347R系统自动调用并执行duit9rr.sh脚本,分别再将dropbear、hostkey、rsa.pub从tftpd服务器上传至HG8347R系统后,自动启动SSH服务器dropbear。然后我们再在pc端运行putty,登录SSH,获得ROOT SHELL权限。
# X Q6 q6 q/ I
3 t% b* b, r; Y, h" O9 ?, `- ^* B; _/ W0 }1 Y# n
4.具体步骤:& n8 i! r1 @2 U6 E4 t3 a
a.确认光猫IP为192.168.1.1,设置连接光猫的PC的ip为192.168.1.2。运行tftpd,指定网卡为192.168.1.2。将payload-mod.bin、dropbear、duit9rr.sh、hostkey、rsa.pub五个文件放至tftpd同目录下;
# d; I, ?6 D( ?5 Q8 k$ q& t/ {% b
b.telnet登录192.168.1.1,使用用户名:root,密码:admin登录。在WAP命令字符界面下,输入加载指令:
! h( w: _; D9 C% D2 ~load pack by tftp svrip 192.168.1.2 remotefile payload-mod.bin
6 e: t& H( q A) Z 如一切操作正确会显示:
& `( u5 u3 x/ GWAP>load pack by tftp svrip 192.168.1.2 remotefile payload-mod.bin success!
/ F! u) S' L. y& d* S9 [WAP>Software Operation Successful!RetCode=0x0!2 Z% ^& n( y. Q3 f, H# `4 A
c.在PC端运行putty,进行配置,服务器ip:192.168.1.1,端口:2222,登录名:root,auth证书:选择您生成的PPK结尾的私钥文件。
% }6 s9 [! Y4 X2 r- h$ S( w6 _, X& i& ]$ w
* y3 Z. ?6 f. k6 U. n 确认配置正确后,点击Open按钮,呵呵登录成功了。
9 w5 c$ x9 l* x9 Z) ? : J) V% O: X5 [% w+ Z" F
经过验证,已经获取root shell权限,下面的不用我教了,呵呵。祝各位愉快。相关文件我会一并提供。 . g, R% [+ @+ \& P6 L$ g1 W: E9 @( p
8 c3 q; g- N; X* c( R | 
[复制链接]
|小黑屋|手机版|Archiver|宽带技术网
( 粤ICP备15054574号 )|网站地图
发表于 2016-8-24 11:40:19
楼主