中兴2.5G电口光猫F7607P闪存备份供大神分析

adsluser11 · 发表于 2022-9-10 23:11:41

本帖最后由 adsluser11 于 2022-9-10 23:16 编辑

进了telnet，把闪存备份了出来，本着技术共享的原则，发出来给大家研究，看看有什么漏洞可以利用没

rootfs分区是jffs2格式，我在debian下挂在出来然后打包，方便大家直接研究：

有几个包含个人信息的无关紧要的分区我就没包含进去了，两个kernel分区是一模一样的，就只传了一个，userconfig目录在删除了个人配置后上传
欢迎各位大神研究讨论，打倒奸商

<blockquote>/ # cat /proc/version

复制代码

/ # cat /proc/mtd
# S/ W9 Z/ u$ k: R5 @) K. J
dev: size erasesize name
* q/ Z H# L D/ r8 |* D
mtd0: 10000000 00020000 "whole flash"
1 Z0 w# ]& X" O3 x1 s: g
mtd1: 00200000 00020000 "u-boot"" T' C: r! K) l' e1 o2 l0 \
mtd2: 00200000 00020000 "others"% N A' K9 g, L, [' m
mtd3: 00200000 00020000 "parameter tags"1 Q0 ]- u8 {. v4 W, z9 {3 ^
mtd4: 00200000 00020000 "wlan"" j- ^6 l$ g( t% o! {1 M
mtd5: 00800000 00020000 "usercfg"
& K) q/ d( T2 S- _6 t; I
mtd6: 00600000 00020000 "middle"2 c0 \7 O( ^# n
mtd7: 02800000 00020000 "kernel1"
' i4 P. v7 o6 g' A# H' u7 N
mtd8: 02800000 00020000 "kernel2"
/ U5 C& t& L! z2 a1 W# g$ }; M) C
mtd9: 03200000 00020000 "osgi1"2 l8 B3 k8 J& z+ {: }: i9 Y3 c+ t
mtd10: 03200000 00020000 "osgi2"
5 u R' I, c* h. l( `
mtd11: 03600000 00020000 "plugin_data"9 T& a G' {5 ?5 f. O" n9 s
mtd12: 024e0000 00020000 "rootfs"

复制代码

mount
: O' s. L$ w- z G; R% |
/dev/root on / type jffs2 (ro,relatime) v. Q* `* Z% W* z' c
proc on /proc type proc (rw,nosuid,relatime)5 @ c' c' B- U$ T
sysfs on /sys type sysfs (rw,nosuid,relatime)
6 C% z' t% u* M3 k
debugfs on /sys/kernel/debug type debugfs (rw,nosuid,relatime)6 V( q! r2 k, B5 x
/dev/mtdblock3 on /tagparam type jffs2 (rw,relatime)( J; ]+ e8 p$ K- L. `5 X
tmpfs on /var type tmpfs (rw,relatime,size=20480k). _. @6 ~; k5 D+ M. |( n& p0 |
tmpfs on /upgtempfile type tmpfs (rw,relatime,size=102400k)
/ ^: ?. n' y) \ R$ O/ n0 [* q
tmpfs on /var/osstmp type tmpfs (rw,relatime,size=2048k)
3 L' @. O+ D/ n9 i7 Y& H
tmpfs on /mnt type tmpfs (rw,relatime,size=2048k)) X$ v M& [. q" R
tmpfs on /var/felix-temp type tmpfs (rw,relatime,size=16384k)
. I8 o& F1 H" p2 S: Z- p( i6 R
tmpfs on /tmp type tmpfs (rw,relatime,size=15360k)0 p- \ D5 F( b }
/dev/mtdblock5 on /userconfig type jffs2 (rw,relatime)
; ?' G. Z4 D. ~
/dev/mtdblock6 on /usr/local/ct type jffs2 (rw,relatime)
7 s2 b% @! x$ s& {+ P8 ^
ubi0_0 on /usr/tmp type ubifs (ro,sync,relatime)7 g5 N R l% t4 x
/dev/loop0 on /usr/java type squashfs (ro,relatime)
( M0 c9 S' |( r z
ubi1_0 on /usr/plugin type ubifs (rw,sync,relatime)+ D0 n5 }: `" c( e, b! c4 E
/dev/mtdblock4 on /wlan type jffs2 (rw,relatime)" V g/ v. q3 r8 C2 i; A# x
cgroup_root on /sys/fs/cgroup type tmpfs (rw,relatime); Z. J3 z. {! u6 k- g9 [$ L
cpu on /sys/fs/cgroup/cpu type cgroup (rw,relatime,cpu)
# R/ _ }# k$ C9 S' m# f3 U
cpuacct on /sys/fs/cgroup/cpuacct type cgroup (rw,relatime,cpuacct)
6 J( t4 |& c' V# t# e
cpuset on /sys/fs/cgroup/cpuset type cgroup (rw,relatime,cpuset)
$ Y: A. V! D$ r5 b2 n8 } K. S
memory on /sys/fs/cgroup/memory type cgroup (rw,relatime,memory)) ^! [5 b) |- T2 O9 c3 k; M
/dev/sda on /mnt/usb1_1 type fuseblk (rw,relatime,user_id=0,group_id=0,allow_other,blksize=4096)

复制代码

/usr/java/bin # ls /bin/ M3 L# y1 k" s4 V
ash gpon_omci netstat sleep
# l$ }3 R; Q( O0 f* S& V
bndmange gpontest nice smbd
" y* Q& K! E# B% `( f
bobtest grep nmbd smbpasswd% `) A5 W% G+ h7 n5 f3 |
brctl gunzip ntfs-3g switchtst
& x1 T4 s! f; ~' d
buservice gzip oamtest sync
0 o+ D b( D3 D, f( O8 Q( {" g, K
busybox hostname openl2tpd tar
3 k/ n" y5 L" i3 ?2 i
cat httpd opticaltst tc
& {% U. ]: {1 g
chgrp igmp_proxy osgid tcping U* o8 @$ `- v! V$ E* q
chmod ip p910nd telnetd. M$ S; a$ \2 B
chown ip6tables pc test_minioltlib
: b( M' L/ B; a5 J/ C$ d
cmapidbg ipsec phddns testftp
# s! O9 O. [% f1 {, k2 w
cp iptables ping touch
' u* {2 M" [! H3 o& t$ ^& E
cpio ipv4protocol ping6 tr069d
% G/ c4 p) J2 A# ?0 B+ ^& A
cspd ipv6protocol portmap traceroute1
% q5 X- ?5 Z7 e
ctsgw_proxyd kill pppd tso" l; s I5 H' M7 ?) c- ~
date kshell pppoe-server umount0 v; Y4 M' ~$ p; ~
dd l2tpconfig ps uname, ]8 y3 Q1 l$ l6 Y5 `& ]7 q+ p
devmem2 ln pwd upgradetest( h. ?2 o. u, s0 E3 M
df login redir upnpd. _+ ?+ j% {& t) E+ a
dipc logtousb rm usbtest
- a5 a5 w- C- s; K" J' j8 Z% n
dmesg ls rmdir usbtool1 ?9 k7 H6 f' q' B4 o
dnsdomainname lzop routed voip3 e0 O# B( [& ^1 a0 g: `3 y% S% `$ U
dnsmasq memtest rpm voipstat
9 c9 l: N) L* z% p T
ebtables minioltdebug sdtest vsftpd
/ |, q/ C' G5 r' u% P( C
echo mkdir sed wbctl
7 L$ v* q- H% f% j* ]; m7 s
egrep mknod sendcmd wgets
1 Z- _" @$ p" S; a h8 W+ n; w
epontest mld_proxy setmac wput
; Q6 R9 W U4 r& }$ a* C N
ethdriver_test mount sh wput_ftp, A; X( R; [; M6 @2 c4 z
fgrep msntp shellproxy wput_tftp
/ `. s7 E- l# O4 u. T4 K
fpga multiapd shellproxy_getty xpondrvARM32.bin
7 Z1 @& \. h' u1 n8 w# I& L: Z
ftest multicast_test shellproxyctrl z3gateway
! |* w1 g; _) U3 L ]
fw_flashing mv simulation zcat! { \0 A, M" ]9 `" U2 }
getopt nand slctool zxspdtest5 _8 n, j4 A4 n
2 _6 ^ J. e# O2 n
( o+ {. j2 n1 T' b! ]/ N, d
/usr/java/bin # ls /sbin1 H" Z( d. ~9 T& q
BCLSockServer hostapd lsmod swapon ubirename$ Y, M% }2 C2 n5 y
band_steering hostapd_2.4g mtd_debug ubiattach ubirmvol
! T( @' S | T
dump_handler hostapd_5g pivot_root ubicrc32 ubirsvol
* }8 o! E R2 F' D x+ @! H: a
dutserver hostapd_cli poweroff ubidetach ubiupdatevol( s4 z/ k& w1 [
dwpal_cli ifconfig reboot ubiformat, D$ r% v1 @" D0 o1 Y& X+ Q. g" y
force_roaming init rmmod ubimkvol
0 A+ p7 L% ^7 D+ k5 ~
getty insmod route ubinfo
! A# q/ d! e8 R; G( O) A/ T
halt iw swapoff ubinize
6 R9 v; y# t* ^" W( o

复制代码

/userconfig/cfg # cat /proc/cpuinfo: p% D( W. O5 ~0 n( e( v
processor : 0
6 r1 h# ~' u, Y) j" G) A
BogoMIPS : 50.00; k! {# j$ [" S
Features : fp asimd crc32+ O3 ^! [+ R1 Q: Q" M1 W8 Z" A9 F' S
CPU implementer : 0x41$ h H" d: i, ?* N4 ?& o v
CPU architecture: 8
2 c3 C5 p x$ C
CPU variant : 0x0
9 g1 a1 `8 d: X) ^0 l E
CPU part : 0xd03( l, N. V* N, J% {3 v
CPU revision : 4
& O0 |, G6 |: x4 z, ~, b
6 r% t& B$ x, j3 q) ^ W9 f- U
processor : 1
6 Q" K9 P: Q$ k! p
BogoMIPS : 50.00" K7 @- X% B+ A
Features : fp asimd crc32: _4 E6 Z2 ]6 _! t, F1 T4 H x
CPU implementer : 0x41" d9 n/ q7 d8 ~3 A; n& A" Y- X
CPU architecture: 8# c- J! h1 T* y
CPU variant : 0x0
6 @, C" G; _& i7 ?% M" X
CPU part : 0xd034 b; ^3 v. E; \/ H2 N# I6 |' Y$ g! y
CPU revision : 4
( b- J. J( R. Y" R$ t- [9 M
, [% z: l+ j* B$ e+ k# d6 U" i
processor : 2
, ~) g3 `( H! m% v
BogoMIPS : 50.00+ S4 r A, {( l
Features : fp asimd crc32* a- C- P' ?. y" R. g+ Z
CPU implementer : 0x416 \4 E8 a' M& {0 u8 V
CPU architecture: 8
" X: O8 z. E( y; S# M4 B
CPU variant : 0x07 ]3 M3 _; Q1 j& l* K
CPU part : 0xd03
! |: \8 P1 l# R _* ~ U
CPU revision : 4" v# R1 m; v# g9 |3 f* ]
. [8 L8 ?; p6 M5 C
processor : 33 U7 u1 I" ~0 P% ~
BogoMIPS : 50.00
1 \6 Y ~ G" c% g; K) R6 Y3 u
Features : fp asimd crc32' ~: |5 k1 C* Q5 A* X- H$ _8 l
CPU implementer : 0x410 V. P' G H6 |$ J
CPU architecture: 81 M; L! D! @# l( r. N. n2 X
CPU variant : 0x0
1 R9 ?* C$ O' Y+ N& o; i
CPU part : 0xd03* A, |5 p# h& T: v2 w' {9 t2 r6 J. f
CPU revision : 4

复制代码

茶521 · 发表于 2022-9-12 18:03:24

转下之前回复的贴子：
说下改地区及永久获取telnet权限步骤吧，其实很简单，总结如下：
telnetONU1.6版本（需要官方授权，或者找楼主，联系群内大佬支持，楼主和群内大佬都很热心肠，能看出来都是喜欢折腾的大神...聊天点击楼主建的链接https://stin.to/u5xdx）

软件界面直接点击获取用户名和密码，可以得到临时telnet账号密码
更改地区步骤
输入命令：/etc/init.d/regioncode ，获取自己所要切换省份代码，比如陕西315（注意：山西是shanxi2）
输入命令：upgradetest sdefconf 315
光猫会自动重启

切换地区后终于可以正常下发配置了，不用自己手动设置那么麻烦了！
这个应该是陕西第一台正常下发配置的中兴FTTR设备F7607P了吧？哈哈。。。

中兴和华为这两套FTTR使用下来，这个确实比华为那套强多了（没有贬低的意思，华为那个也够用，只是中兴这个配置确实很强）

获取永久telnet权限步骤：
sendcmd 1 DB set TelnetCfg 0 TS_Enable 1             开启telnet
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1             开启本地telnet
sendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1  在OLT注册之后继续开启本地telent
sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd XXXX 修改root密码为xxxx
sendcmd 1 DB save                                                 保存
记得重启光猫

获取telnet后这些已经足够用了，如果想要更多命令，可以参考如下链接
https://www.daimajiaoliu.com/daima/7b7570abf4c6802

qiner_1984 · 发表于 2022-9-13 18:58:24

老板有没有G1620的备份文件

adsluser11 · 发表于 2022-9-13 11:07:15

sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1( G+ ]" c9 f8 d! u6 ^8 k
sendcmd 1 DB set TelnetCfg 0 TS_UName root
3 I" R" }( |, U
sendcmd 1 DB set TelnetCfg 0 TSLan_UName root
3 _7 O' d0 I+ H( o8 R2 {
sendcmd 1 DB set TelnetCfg 0 TS_UPwd Zte521
, I8 b6 a) |# p( |' P
sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd Zte521# R& y2 ^5 x4 }/ k$ F/ b0 h
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 999999: F/ W3 u2 X0 ]- `
sendcmd 1 DB set TelnetCfg 0 WanWebLinkToTS 10 z" L: M( E- R; i2 r. R
sendcmd 1 DB set TelnetCfg 0 ExitTime 99999999
- o( h6 }$ i& c5 w, z
sendcmd 1 DB set TelnetCfg 0 CloseServerTime 99999999
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3" V, h$ s0 C! X% D9 t' h8 t
sendcmd 1 DB save& t1 O. Y$ ]8 \/ L7 Z
reboot

复制代码

InitSecLvl猜测是控制root用户名权限的，山东移动定制版默认为3，河南联通为0，河南联通的root账户登陆后运行很多命令都权限不足，改为3后正常

uin · 发表于 2022-9-11 11:05:19

感谢楼主大神分享！支持一波！！！！！

caijay2009 · 发表于 2022-9-11 12:49:08

请教一下，debian如何挂载jffs2格式。并且打包导出

adsluser11 · 发表于 2022-9-11 13:02:41

caijay2009 发表于 2022-9-11 12:49, m: o! U2 q/ A* |
请教一下，debian如何挂载jffs2格式。并且打包导出

安装mtdram，生成虚拟的mtdblock设备，然后把提取出来的闪存镜像dd到虚拟的mtdblock，然后挂载出来。其他格式的分区镜像都同理

qwer550055 · 发表于 2022-9-11 16:56:11

这个能补全界面吗？

ht514414031 · 发表于 2022-9-11 16:59:06

请教一下，怎么telnet进的啊

adsluser11 · 发表于 2022-9-11 19:38:52

ht514414031 发表于 2022-9-11 16:59# v5 @9 n; J- E8 m- ?
请教一下，怎么telnet进的啊

工具是别人的，远程帮我开启的，目前不会破解软件

ahsxxl · 发表于 2022-9-12 15:44:42

有大神分析一下，CMCC，成功的引起我的强迫症

中兴2.5G电口光猫F7607P闪存备份供大神分析

本帖子中包含更多资源

本帖子中包含更多资源

点评

账号		自动登录	找回密码
密码			注册