宽带技术网

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 122431|回复: 44

已解决:中兴F650破解

[复制链接]
发表于 2018-2-1 12:30:58 | 显示全部楼层 |阅读模式
本帖最后由 ggzzzzzzzz 于 2018-2-8 23:27 编辑
, j# q# ^$ U7 Y
8 X. J! ]6 x, ^1 k6 n# J中兴F650如果用GuangDong version上网一切正常,虽然有超密但是不知道如何破解才能开telnet
; c+ |% P% f  m+ d用hidden_version_switch.gch从GuangDong version切换到default version,手动配置网络后能上网,关键是telnet能用了,telnet能用root/Zte521登陆
  F. I  I" f0 L严重问题是所有域名都被解析为192.168.1.1,电脑网卡手动配置DNS Server为任何IP都无法抵挡192.168.1.1将所有域名解析为192.168.1.1! }& S' J9 s0 Y' r. y" Z7 X+ K2 k
# X5 O% J: [2 |  Z" F+ C4 g
最开始我为了解决域名解析的问题,用了一个很蹩脚的DNS解析方案,用Simple DNSCrypt 0.4.3强行让DNS查询用加密的方式出去,如果只是解决浏览器看网页的问题也可以强行所有网页访问都用ssr + SwitchOmega出去(关键是强迫DNS查询也走ssr socks proxy出去)。即便用了Simple DNSCrypt,Cisco AnyConnect连VPN失败
! L2 J" w9 d: U1 J3 P$ `9 j. M" ^8 K. f
后来我找到了解决域名解析的办法,就是用命令修改光猫的注册授权状态
% X9 ^' ?: P/ B; C9 h3 p+ z5 h4 ~( T* b1 _7 Y3 x- y5 d
首先要用telecomadmin超级用户登陆web界面,密码是缺省的nE7jA%5m,目的是抄下宽带识别码(LOID)和网络配置信息。网络配置信息关键是上Internet的VLAN ID和802.1p ID,以及iTV的VLAN ID和802.1p ID,TR069是电信远程管理用的,VLAN ID和802.1p ID也可以抄下来,当然,这些信息同一个小区应该是一样的,你如果没有超密,如果能抄邻居家的配置也是一样的。还有你自己的PPPoE宽带拨号账号和密码,可以打10000热线查或去营业厅reset。如果你的语音电话也是绑定到光猫上,那么还需要抄下语音相关的配置信息,比如语音鉴权密码等。
有了足够的网络配置信息,你就可以不用中国电信为光猫设置好的某个地区的version,比如我的是Guangdong version,你可以切换到Default version,你就可以获得telnet root全部权限。切换version,用隐藏界面就好了, http://192.168.1.1:8080/hidden_version_switch.gch
如果telecomadmin密码已经被电信改掉,获取telecomadmin超级用户的密码(简称超密)网上有不少Tips,1. 打10000热线要,2. 让电信服务工程师帮忙查后台系统,3. 打开光猫盒子,焊接TTL线,连接console用命令行获取超密。
光猫切换到Default version后,手工配置抄下的网络配置信息,PPPoE拨号就能正常拨通,但是DNS会被劫持,所有域名都被解析为192.168.1.1,你用浏览器打开任何页面可能都被定向到192.168.1.1弹出的页面让你注册。其实这个时候是可以上网的,比如QQ可以用,你用Simple DNScrypt软件用加密的DNS查询就可以用浏览器,中国电信的DNS劫持是无法对付这种加密的DNS查询方式的,或者你强迫浏览器所有网页访问流量都通过你自己的ssr + SwitchyOmega插件出去,你的ssr服务器如果是用IP访问的,那么就不受DNS劫持影响。
解决DNS被劫持的问题,方法就是Telnet用root登陆,密码Zte521(有些地区改了这个缺省密码,比如四川Zte521@SC),或者用TTL线连接console,然后执行以下命令,修改光猫的认证状态,比如广东要求Status为0以及Result为1。
执行以下命令可解决以上DNS问题
* @6 B9 L, y. h! M/ t% u0 N8 N% b& T* A2 r, V. Z: o! l
sendcmd 1 DB set PDTCTUSERINFO 0 Status 0: R7 e4 m9 C3 H( [8 V
sendcmd 1 DB set PDTCTUSERINFO 0 Result 1
) L) e- y) ~) X: j' [sendcmd 1 DB save
) L5 d: X* A5 R# \2 B# s1 [: `( F0 X4 b
然后可以重启光猫,验证DNS不再被劫持,不会上任意网站都被弹出要求注册LOID的页面& U9 t2 h; \& F- D) e, B) f% D* V

0 j# p5 I" A+ a7 e4 Z# `! f接着,可以用命令修改连接设备数量的限制3 H6 A- M! T6 }; y( ]
# 修改最大设备连接数量的限制
+ {; u/ y6 u) C* U- G! zsendcmd 1 DB p CltLmt+ u; B2 J$ N% H% J( p
sendcmd 1 DB set CltLmt 8 Max 99: h( Q$ }: z9 ^4 H
sendcmd 1 DB p WANCPPP  a& P- E3 i$ O) M7 _5 I2 u
sendcmd 1 DB set WANCPPP 0 MaxUser 99& M% `0 D% x- n  r& M' T2 m. U
sendcmd 1 DB save
/ k( s3 I+ g" ]! n
7 Z7 [$ Z4 u4 C/ m% d+ a

0 T* Y0 h# O1 i0 _5 Y' ?% z0 [7 K: _5 U& X/ N6 F" K% i
0 t( l* j8 F2 L( N- o- a; m

5 T# p2 n' R1 w5 h! b这个问题,应该是ITMS注册没成功,Status和Result的值为99,就会导致DNS解析异常% a- A; ~! R+ P% W
; Y6 g" J# T2 B9 x- G
硬件软件型号信息如下
+ t* `( e2 X+ T6 Q- `. I  S! g5 BManufacturer:ZTE
; ]  J6 f) q) F$ Z- g9 C1 YProductClass:ZXHN F6502 J" p9 G* q9 O# z1 y" z
HWVer:V2.00 {& y  F! F, ~" e9 m: L8 v
SWVer:V2.0.0P1T1GD
- ?4 E9 D- a' n$ E" R4 J0 x- Q( A6 f8 ^# l& _  l" W
6 d0 H" J* B" R+ l' Z4 |3 p

  m* m( }2 J! ~) n3 m
4 L; y0 o3 _3 O9 k/ s% y
! }/ \2 N0 w; F( k  @0 u
: y' F! }7 O* Q, S* ?; j5 F
# |) k$ T& Q1 ?# m% g. g& y
) O4 A0 }; }8 }& B7 G$ E4 [2 ?- T/ ?0 \4 P, F. |
补充内容 (2018-2-2 15:09):
4 `( W0 [! @3 J问题已经部分解决,目前用Guangdong version,成功开启了Telnet,只是shell权限受限,春天不远了( D4 t% d+ i+ G% R) A) `
" F! ~5 f; ]0 n9 o" U
补充内容 (2018-2-2 15:32):
' |2 T+ }' m+ L中兴F650,GuangDong version,成功开启了Telnet服务,上网正常,电视机坏了暂时无法验证iTV那个长虹IHO-3000 4K机顶盒是否正常。7 j+ A( a( C9 ]' k. P: c
' f/ n0 p" O3 {* x/ C3 Q
但是,除了ls,cd,cat几个基本命令,几乎所有命令都Access Denied,比如cp、df..." |. z9 H* n6 Z8 a3 @" O) u

  [( a3 Q% @" a补充内容 (2018-2-2 15:33):
$ b+ `7 O6 h. P5 E. ~! R几乎所有命令都Access Denied,比如cp、df、mount、sendcmd 1 DB all和sendcmd 1 DB p TelnetCfg都不行。  t* w3 D( |  A- B9 f
但是,用cat /tmp/file.txt > /userconfig/file.txt 这种方法看起来可以操作,春天似乎不远了。
' m/ f; B) j, O- b! D: N/ K
. w/ P7 q6 t" }# n; X补充内容 (2018-2-2 15:42):
1 `6 O, T$ j3 r8 L" x0 h广州电信应该是不改超密的,用telecomadmin/nE7jA%5m就可以登陆web界面做很多配置修改,telnet用户名和密码也是缺省的root/Zte5212 h; y( G5 a' l/ [; c6 y1 f) X
3 G5 l: I$ f9 R0 l
补充内容 (2018-2-2 15:56):
8 B% V6 }2 M8 A! m9 \淘宝破解要20元,我因为已经摸到门了,就没买远程破解服务
; D, p- w, H! O5 o$ f
/ G- w( q+ X( d# ?补充内容 (2018-2-3 12:56):
: e( M  A. m& f  t: l- E+ h# l- osendcmd 1 DB set PDTCTUSERINFO 0 Status 0# L; g: n# }5 R! i4 ^$ f) M
sendcmd 1 DB set PDTCTUSERINFO 0 Result 1. w2 i/ {) W. h0 g# j% j: H
sendcmd 1 DB save! h8 L! s; T1 ?( P) |
切换到default version,手工配网络,Tr69可删,Telnet root/Zte521后执行上述命令可解决以上DNS问题9 Z" r! \# E+ A9 x; U% J  e- U2 Z

6 V5 i: s. @- f' k' ~, p补充内容 (2018-2-3 13:02):
2 k# A& ]* V' `! p# bONU芯片 Architecture: zx2791271 n( W, I7 a5 X- g  H' c
Linux version 4.1.25 (root@A23176683) (gcc version 4.9.3 (Buildroot 2015.08.1-svn724) ) #6 Wed Aug 23 16:16:58 CST 2017/ h- H6 ~& W; F0 M( w' D: `
这个中兴猫应是基于OpenWrt改的,破解后能干啥?
0 z& L1 J$ k8 Y- Z/ b' L' G6 ]" _2 Q8 N
补充内容 (2018-2-3 13:32):
6 v$ N! @2 B" O. _: Aar71xx was difficult to bump from 4.1 to 4.4, while ipq806x had real trouble with 4.4 to 4.93 D: e$ ~9 T  Y! c# d. P
https://forum.lede-project.org/t ... e-4-9-kernel/9052/6! V3 C; z  q! E
! _" Y3 c' L- m" s4 D/ G
补充内容 (2018-2-3 13:44):
2 \& V; j2 @4 i; Y% z% iLinux kernel 4.1.x 是LTS version,F650中兴猫ARMv7这个U似乎kernel难以升到4.4甚至4.98 J; K- A: O, N7 @1 H! b

) n' N0 j- N. _  D' g% J补充内容 (2018-2-3 13:47):
9 W0 }6 Q  w: m; }2 i中兴微电子多模ONU芯片ZX279127内嵌arm芯片
4 i0 w+ C+ ]: U$ U5 @8 Z+ ?0 w
: ]; q0 V  A' U& V  W' s' t4 A( @0 O补充内容 (2018-2-3 13:49):
- _7 j5 l) h- _, CARMv7 Processor rev 1 (v7l) 这个CPU貌似一加和HTC手机都采用过! z! m; Y: D8 ]# Y% N

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| 发表于 2018-2-1 13:02:03 | 显示全部楼层
即便用了Simple DNSCrypt,Cisco AnyConnect连VPN失败
 楼主| 发表于 2018-2-3 13:00:51 | 显示全部楼层
切换到default version,手工配网络,Tr69可删,Telnet root/Zte521后执行以下命令可解决以上DNS问题
4 D$ n4 \" v% u2 {8 p8 g! X* w0 f  @, Y6 V' D9 y# \% ]  h8 |" ~
sendcmd 1 DB set PDTCTUSERINFO 0 Status 0, C! H, p; S& @0 A" i0 `
sendcmd 1 DB set PDTCTUSERINFO 0 Result 15 m4 r/ W: w7 {# }4 S6 K, _" o" q, W
sendcmd 1 DB save
- O) t- P- N6 ^
2 t0 l  l: b7 N5 X; [然后可以重启光猫,验证DNS不再被劫持,不会上任意网站都被弹出要求注册LOID的页面
回复 支持 1 反对 0

使用道具 举报

发表于 2018-2-21 19:04:17 | 显示全部楼层
你好,第一次不知道怎么捅的复位键,恢复到了出厂设置,但是注册了一次之后,不管怎么捅就是不能恢复到出厂设置,请大神说一下怎么捅才能恢复到默认的超级密码。
回复 支持 0 反对 1

使用道具 举报

发表于 2018-2-2 21:43:45 | 显示全部楼层
本帖最后由 houjievip 于 2018-2-2 21:45 编辑
( P) o4 U! B( y# z
ggzzzzzzzz 发表于 2018-2-2 09:42
, @; }, ]4 q" Z; v请教高手,手动配置包括哪些内容?TR69,Other,Internet这些我会抄,“别下发数据”是如何操作?能给几 ...

2 \& U9 U  G  z; C! O4 L) h看嘛  上面照搬你以前光猫的配置 TR069 不用   中心猫  模式选 改写 TAG

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复 支持 0 反对 1

使用道具 举报

 楼主| 发表于 2018-2-1 12:39:05 | 显示全部楼层
本帖最后由 ggzzzzzzzz 于 2018-2-1 12:48 编辑
/ c. k' M6 {& g  W
/ p) G. Y8 y3 t/ O8 [+ R5 m- U 晕,不知道如何删除重复的图片6 p( z7 ]3 D$ w/ s7 k/ o

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| 发表于 2018-2-2 00:39:51 | 显示全部楼层
自己顶一下。
发表于 2018-2-2 00:55:56 | 显示全部楼层
恢复出厂 手动配置撒 别下发数据
 楼主| 发表于 2018-2-2 09:42:26 | 显示全部楼层
houjievip 发表于 2018-2-2 00:55
6 L$ T$ z0 `, i5 j4 V恢复出厂 手动配置撒 别下发数据

- @$ _8 m: l# ?7 w" @7 S. P请教高手,手动配置包括哪些内容?TR69,Other,Internet这些我会抄,“别下发数据”是如何操作?能给几个链接我学习一下吗?谢谢

点评

看嘛 上面照搬你以前光猫的配置 TR069 不用  详情 回复 发表于 2018-2-2 21:43
发表于 2018-2-2 13:42:18 | 显示全部楼层
f650光猫超级密码是多少?忘告知谢谢,回复或邮箱229402771@qq.com
 楼主| 发表于 2018-2-2 15:20:30 | 显示全部楼层
自己顶一下
 楼主| 发表于 2018-2-2 20:12:02 | 显示全部楼层
qq229402771 发表于 2018-2-2 13:42
5 h/ a. |3 a* t' I2 k. sf650光猫超级密码是多少?忘告知谢谢,回复或邮箱
, Q/ W. Y9 ~& [! n8 l/ V- K% G: z
telecomadmin   nE7jA%5m  如果没有被改过的话
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|宽带技术网 |网站地图

粤公网安备 44152102000001号

GMT+8, 2022-1-18 12:09 , Processed in 0.031680 second(s), 33 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表