首先要深深感谢“晓风残月”,没有他的深入研究、详细说明、以及程序贡献,就不会有所谓的Root shell;+ B* y2 S" q: C V
其次感谢sdgaojian,没有他的实践、介绍,我就根本不可能解决问题!4 p) ]6 v8 ]" b1 S ]" l: c& E
$ x1 a% \3 R* d
为了方便各位坛友阅读,我先进行无差别扫盲:
0 O' m2 Q* q. K {$ B4 @( uHGU:Home Gateway Unit 家庭网关单元,说白了就是直接可以充当路由器的光猫(甚至可能封掉了桥接的功能);1 R, R; `3 e. C. `2 ]
SFU:SingleFamilyUnit,单个家庭用户单元;/ N" p& Y& A. d& q) h4 ~
SBU:SingleBusinessUnit,单个商业用户单元;
2 j' A0 G' `8 X6 U1 d2 jMDU:Multi-DwellingUnit,多住户单元;8 |& S2 r% r6 @1 \0 u* p
MTU:Multi-TenantUnit,多租户单元;
3 D" i( i8 J" M0 S6 W2 q. \! FEPON:Ethernet Passive Optical Network,以太网无源光网络(理论上GPON技术更优于EPON,但实际使用上各有千秋)1 m4 e, g& S" _8 f. K
GPON:Gigabit Passive Optical Network,千兆无源光网络
. M: d# `% a; B! l$ w2 H e9 IONU:Optical Network Unit,光网络单元(ONT是ONU的组成部分),我们可以理解为ONU是多局域网口的光猫,而ONT是单网口的光猫。
" g9 m9 k- W7 l! W6 }7 n4 M$ X0 B9 [ONT:Optical Network Terminal,光网络终端。+ }6 N% d s/ }" R: I, x
5 X1 X. L" r; V& f" a4 j
问题描述:3 `6 j# n* U; G8 i9 {" f X
我目前家里使用的光猫是烽火HG220G-U,北京联通EPON ONU定制版。各种被锁,无法搞定,因此网购了新光猫准备替换,网购的是华为HG8347R,联通天津HGU-EPON定制版。为了达到光猫替换的目的,我们必须先修改华为HG8347R的/mnt/jffs2/hw_boardinfo.xml硬件配置文件中的设备MAC地址为烽火的MAC,来欺骗局端。要修改该文件首先需要获得系统shell的root权限。HG8347R的web管理员帐户密码没有被锁,标准的华为telecomadmin/admintelecom,进入后开telnet,再使用终端登录,用root/admin可进。如telnet被封,可使用华为专用使能工具开telnet。telnet的WAP命令字符界面下,使用命令su,进入SuWAP,再敲入shell,进入busybox,发现被阉割,ls、cd 、vi等基础指令都禁止使用,怎么办?发现了sdgaojian关于ROOT Shell的帖子,研究之。
1 c" O, q0 V) b: q( h
1 F7 }! P) w6 P8 U8 Q6 I, ~! }问题处理:1 g' l4 [& I4 \$ V3 P
根据sdgaojian的帖子,得知已有由晓风残月提供的解决方案,但具体使用过程中,表述的不是很清楚,这里我详细说明下。
* p2 f/ } G5 Y$ d2 i$ R1.我们分别需要tftpd、puttygen、putty三个程序,和晓风残月编译好的payload-mod程序包(内含payload-mod.bin、dropbear、duit9rr.sh、hostkey四个关键文件)。
- f' p0 J5 k2 t6 s c3 b" ~
3 h4 I. G* L. l& H% @. }7 f0 b2 V: g1 {( C* r! Y
2.运行puttygen分别生成RSA公钥和私钥
8 I4 [! ?- H7 s4 p: o a.点击生成证书,提示在界面内移动鼠标生成随机数据,不停移动鼠标一会儿后,证书生成:7 D& y A$ A& k d1 B
~8 {. y7 @0 X! J/ P% q/ \ b.获得公钥:上右图中字符串即为authorized_keys,可以复制另存为rsa.pub文件得到,也可点击“Save public key”,另存为rsa.pub文件得到(该文件上传至HG8347R系统后会被duit9rr.sh脚本自动改名为authorized_keys)。后续公钥会连同payload-mod程序包一起使用,公钥主要用于配合ssh服务器端(dropbear)使用。 & u% F8 P+ X. ]3 F' a
c.获得私钥:点击“Save private key”得到与公钥相配套的私钥文件(PPK结尾),即为用于ssh客户端使用的私钥文件。
( ^) o5 {$ y/ B! X3 v% E* n' y& H" ]1 j% h) ^6 X% N
w* O/ B8 ^; X5 l, U
3.方案思路:先使用telnet登录HG8347R终端,然后将payload-mod.bin文件通过指令从tftpd服务器上传到HG8347R系统并自动加载执行,结果为HG8347R系统自动调用并执行duit9rr.sh脚本,分别再将dropbear、hostkey、rsa.pub从tftpd服务器上传至HG8347R系统后,自动启动SSH服务器dropbear。然后我们再在pc端运行putty,登录SSH,获得ROOT SHELL权限。$ H K& ?* ]% l/ F
& }% K4 S1 C E# ^1 q$ e6 W) {0 F: p
" U5 ^' q f G3 M ^' w* B* r
4.具体步骤:
3 O) @1 M" F/ h a.确认光猫IP为192.168.1.1,设置连接光猫的PC的ip为192.168.1.2。运行tftpd,指定网卡为192.168.1.2。将payload-mod.bin、dropbear、duit9rr.sh、hostkey、rsa.pub五个文件放至tftpd同目录下;
6 F5 C" n. r2 `( ?, l" l! j" b2 o5 {7 b9 @; J' A0 K; F
b.telnet登录192.168.1.1,使用用户名:root,密码:admin登录。在WAP命令字符界面下,输入加载指令:
( A% V G5 O- e/ Q+ o6 S% N7 Aload pack by tftp svrip 192.168.1.2 remotefile payload-mod.bin5 `* ^' B% U2 |# V, _$ b& U/ E! F
如一切操作正确会显示:
B6 T5 |) p# F) F4 UWAP>load pack by tftp svrip 192.168.1.2 remotefile payload-mod.bin success!
' A8 z. a7 B; I) [1 K9 F( Y& gWAP>Software Operation Successful!RetCode=0x0!
3 O" M5 B; ]5 \# ] c.在PC端运行putty,进行配置,服务器ip:192.168.1.1,端口:2222,登录名:root,auth证书:选择您生成的PPK结尾的私钥文件。
" s) l) r6 T- \: C
" M/ x8 U8 w' g- U( M& i' j
; M! Y) b! x* g; \* ^, h# K4 i 确认配置正确后,点击Open按钮,呵呵登录成功了。
$ E' N, _9 H! z: ~& F + M" I5 _2 j* o6 b1 W6 K
经过验证,已经获取root shell权限,下面的不用我教了,呵呵。祝各位愉快。相关文件我会一并提供。 6 ^4 F& R# t' P7 \- T8 A
- ^ A% X; m# l# l1 f5 w | 
[复制链接]
|小黑屋|手机版|Archiver|宽带技术网
( 粤公网安备 44152102000001号 )|网站地图
发表于 2016-8-24 11:40:19
楼主