宽带技术网

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2228|回复: 33

中兴2.5G电口光猫F7607P闪存备份供大神分析

[复制链接]
发表于 2022-9-10 23:11:41 | 显示全部楼层 |阅读模式 来自 中国四川绵阳
本帖最后由 adsluser11 于 2022-9-10 23:16 编辑 & {% S, O% q2 ^3 n

" {) s& G6 U6 L3 M进了telnet,把闪存备份了出来,本着技术共享的原则,发出来给大家研究,看看有什么漏洞可以利用没( z! {& K6 B3 j  H0 |3 i0 K* U$ `" a
9 d! S/ A& G5 h% D  i, @6 s

$ P, [  k3 q# s" {6 e" nrootfs分区是jffs2格式,我在debian下挂在出来然后打包,方便大家直接研究:/ A1 S4 A8 }! S, t$ L: Q
( i( ~: c& ]4 O1 B# j( `
有几个包含个人信息的无关紧要的分区我就没包含进去了,两个kernel分区是一模一样的,就只传了一个,userconfig目录在删除了个人配置后上传
! i6 V6 T: E9 B4 A' j欢迎各位大神研究讨论,打倒奸商, C0 p( a" E0 A$ n9 ?9 W$ b

' a! N7 D1 T% p4 y6 B) H% J" |8 V" T) q% g
0 X! ?  S$ ]! _  D3 n- R, l/ f' G

7 M6 l0 N6 Y/ T) v4 a4 g& X
# L% |7 T( L7 o, Y
% p8 ^5 h  p/ m% n+ @! J# c+ q( n7 ~% o6 y
  1. <blockquote>/ # cat /proc/version
复制代码

" p9 n1 Z. V  f( D" D/ o8 \5 y* I& O8 c$ X1 E* e, @
  1. / # cat /proc/mtd
    # S/ W9 Z/ u$ k: R5 @) K. J
  2. dev:    size   erasesize  name
    * q/ Z  H# L  D/ r8 |* D
  3. mtd0: 10000000 00020000 "whole flash"
    1 Z0 w# ]& X" O3 x1 s: g
  4. mtd1: 00200000 00020000 "u-boot"" T' C: r! K) l' e1 o2 l0 \
  5. mtd2: 00200000 00020000 "others"% N  A' K9 g, L, [' m
  6. mtd3: 00200000 00020000 "parameter tags"1 Q0 ]- u8 {. v4 W, z9 {3 ^
  7. mtd4: 00200000 00020000 "wlan"" j- ^6 l$ g( t% o! {1 M
  8. mtd5: 00800000 00020000 "usercfg"
    & K) q/ d( T2 S- _6 t; I
  9. mtd6: 00600000 00020000 "middle"2 c0 \7 O( ^# n
  10. mtd7: 02800000 00020000 "kernel1"
    ' i4 P. v7 o6 g' A# H' u7 N
  11. mtd8: 02800000 00020000 "kernel2"
    / U5 C& t& L! z2 a1 W# g$ }; M) C
  12. mtd9: 03200000 00020000 "osgi1"2 l8 B3 k8 J& z+ {: }: i9 Y3 c+ t
  13. mtd10: 03200000 00020000 "osgi2"
    5 u  R' I, c* h. l( `
  14. mtd11: 03600000 00020000 "plugin_data"9 T& a  G' {5 ?5 f. O" n9 s
  15. mtd12: 024e0000 00020000 "rootfs"
复制代码
  1. mount
    : O' s. L$ w- z  G; R% |
  2. /dev/root on / type jffs2 (ro,relatime)  v. Q* `* Z% W* z' c
  3. proc on /proc type proc (rw,nosuid,relatime)5 @  c' c' B- U$ T
  4. sysfs on /sys type sysfs (rw,nosuid,relatime)
    6 C% z' t% u* M3 k
  5. debugfs on /sys/kernel/debug type debugfs (rw,nosuid,relatime)6 V( q! r2 k, B5 x
  6. /dev/mtdblock3 on /tagparam type jffs2 (rw,relatime)( J; ]+ e8 p$ K- L. `5 X
  7. tmpfs on /var type tmpfs (rw,relatime,size=20480k). _. @6 ~; k5 D+ M. |( n& p0 |
  8. tmpfs on /upgtempfile type tmpfs (rw,relatime,size=102400k)
    / ^: ?. n' y) \  R$ O/ n0 [* q
  9. tmpfs on /var/osstmp type tmpfs (rw,relatime,size=2048k)
    3 L' @. O+ D/ n9 i7 Y& H
  10. tmpfs on /mnt type tmpfs (rw,relatime,size=2048k)) X$ v  M& [. q" R
  11. tmpfs on /var/felix-temp type tmpfs (rw,relatime,size=16384k)
    . I8 o& F1 H" p2 S: Z- p( i6 R
  12. tmpfs on /tmp type tmpfs (rw,relatime,size=15360k)0 p- \  D5 F( b  }
  13. /dev/mtdblock5 on /userconfig type jffs2 (rw,relatime)
    ; ?' G. Z4 D. ~
  14. /dev/mtdblock6 on /usr/local/ct type jffs2 (rw,relatime)
    7 s2 b% @! x$ s& {+ P8 ^
  15. ubi0_0 on /usr/tmp type ubifs (ro,sync,relatime)7 g5 N  R  l% t4 x
  16. /dev/loop0 on /usr/java type squashfs (ro,relatime)
    ( M0 c9 S' |( r  z
  17. ubi1_0 on /usr/plugin type ubifs (rw,sync,relatime)+ D0 n5 }: `" c( e, b! c4 E
  18. /dev/mtdblock4 on /wlan type jffs2 (rw,relatime)" V  g/ v. q3 r8 C2 i; A# x
  19. cgroup_root on /sys/fs/cgroup type tmpfs (rw,relatime); Z. J3 z. {! u6 k- g9 [$ L
  20. cpu on /sys/fs/cgroup/cpu type cgroup (rw,relatime,cpu)
    # R/ _  }# k$ C9 S' m# f3 U
  21. cpuacct on /sys/fs/cgroup/cpuacct type cgroup (rw,relatime,cpuacct)
    6 J( t4 |& c' V# t# e
  22. cpuset on /sys/fs/cgroup/cpuset type cgroup (rw,relatime,cpuset)
    $ Y: A. V! D$ r5 b2 n8 }  K. S
  23. memory on /sys/fs/cgroup/memory type cgroup (rw,relatime,memory)) ^! [5 b) |- T2 O9 c3 k; M
  24. /dev/sda on /mnt/usb1_1 type fuseblk (rw,relatime,user_id=0,group_id=0,allow_other,blksize=4096)
复制代码
  1. /usr/java/bin # ls /bin/ M3 L# y1 k" s4 V
  2. ash               gpon_omci         netstat           sleep
    # l$ }3 R; Q( O0 f* S& V
  3. bndmange          gpontest          nice              smbd
    " y* Q& K! E# B% `( f
  4. bobtest           grep              nmbd              smbpasswd% `) A5 W% G+ h7 n5 f3 |
  5. brctl             gunzip            ntfs-3g           switchtst
    & x1 T4 s! f; ~' d
  6. buservice         gzip              oamtest           sync
    0 o+ D  b( D3 D, f( O8 Q( {" g, K
  7. busybox           hostname          openl2tpd         tar
    3 k/ n" y5 L" i3 ?2 i
  8. cat               httpd             opticaltst        tc
    & {% U. ]: {1 g
  9. chgrp             igmp_proxy        osgid             tcping  U* o8 @$ `- v! V$ E* q
  10. chmod             ip                p910nd            telnetd. M$ S; a$ \2 B
  11. chown             ip6tables         pc                test_minioltlib
    : b( M' L/ B; a5 J/ C$ d
  12. cmapidbg          ipsec             phddns            testftp
    # s! O9 O. [% f1 {, k2 w
  13. cp                iptables          ping              touch
    ' u* {2 M" [! H3 o& t$ ^& E
  14. cpio              ipv4protocol      ping6             tr069d
    % G/ c4 p) J2 A# ?0 B+ ^& A
  15. cspd              ipv6protocol      portmap           traceroute1
    % q5 X- ?5 Z7 e
  16. ctsgw_proxyd      kill              pppd              tso" l; s  I5 H' M7 ?) c- ~
  17. date              kshell            pppoe-server      umount0 v; Y4 M' ~$ p; ~
  18. dd                l2tpconfig        ps                uname, ]8 y3 Q1 l$ l6 Y5 `& ]7 q+ p
  19. devmem2           ln                pwd               upgradetest( h. ?2 o. u, s0 E3 M
  20. df                login             redir             upnpd. _+ ?+ j% {& t) E+ a
  21. dipc              logtousb          rm                usbtest
    - a5 a5 w- C- s; K" J' j8 Z% n
  22. dmesg             ls                rmdir             usbtool1 ?9 k7 H6 f' q' B4 o
  23. dnsdomainname     lzop              routed            voip3 e0 O# B( [& ^1 a0 g: `3 y% S% `$ U
  24. dnsmasq           memtest           rpm               voipstat
    9 c9 l: N) L* z% p  T
  25. ebtables          minioltdebug      sdtest            vsftpd
    / |, q/ C' G5 r' u% P( C
  26. echo              mkdir             sed               wbctl
    7 L$ v* q- H% f% j* ]; m7 s
  27. egrep             mknod             sendcmd           wgets
    1 Z- _" @$ p" S; a  h8 W+ n; w
  28. epontest          mld_proxy         setmac            wput
    ; Q6 R9 W  U4 r& }$ a* C  N
  29. ethdriver_test    mount             sh                wput_ftp, A; X( R; [; M6 @2 c4 z
  30. fgrep             msntp             shellproxy        wput_tftp
    / `. s7 E- l# O4 u. T4 K
  31. fpga              multiapd          shellproxy_getty  xpondrvARM32.bin
    7 Z1 @& \. h' u1 n8 w# I& L: Z
  32. ftest             multicast_test    shellproxyctrl    z3gateway
    ! |* w1 g; _) U3 L  ]
  33. fw_flashing       mv                simulation        zcat! {  \0 A, M" ]9 `" U2 }
  34. getopt            nand              slctool           zxspdtest5 _8 n, j4 A4 n

  35. 2 _6 ^  J. e# O2 n
  36. ( o+ {. j2 n1 T' b! ]/ N, d
  37. /usr/java/bin # ls /sbin1 H" Z( d. ~9 T& q
  38. BCLSockServer  hostapd        lsmod          swapon         ubirename$ Y, M% }2 C2 n5 y
  39. band_steering  hostapd_2.4g   mtd_debug      ubiattach      ubirmvol
    ! T( @' S  |  T
  40. dump_handler   hostapd_5g     pivot_root     ubicrc32       ubirsvol
    * }8 o! E  R2 F' D  x+ @! H: a
  41. dutserver      hostapd_cli    poweroff       ubidetach      ubiupdatevol( s4 z/ k& w1 [
  42. dwpal_cli      ifconfig       reboot         ubiformat, D$ r% v1 @" D0 o1 Y& X+ Q. g" y
  43. force_roaming  init           rmmod          ubimkvol
    0 A+ p7 L% ^7 D+ k5 ~
  44. getty          insmod         route          ubinfo
    ! A# q/ d! e8 R; G( O) A/ T
  45. halt           iw             swapoff        ubinize
    6 R9 v; y# t* ^" W( o
复制代码
  1. /userconfig/cfg # cat /proc/cpuinfo: p% D( W. O5 ~0 n( e( v
  2. processor       : 0
    6 r1 h# ~' u, Y) j" G) A
  3. BogoMIPS        : 50.00; k! {# j$ [" S
  4. Features        : fp asimd crc32+ O3 ^! [+ R1 Q: Q" M1 W8 Z" A9 F' S
  5. CPU implementer : 0x41$ h  H" d: i, ?* N4 ?& o  v
  6. CPU architecture: 8
    2 c3 C5 p  x$ C
  7. CPU variant     : 0x0
    9 g1 a1 `8 d: X) ^0 l  E
  8. CPU part        : 0xd03( l, N. V* N, J% {3 v
  9. CPU revision    : 4
    & O0 |, G6 |: x4 z, ~, b

  10. 6 r% t& B$ x, j3 q) ^  W9 f- U
  11. processor       : 1
    6 Q" K9 P: Q$ k! p
  12. BogoMIPS        : 50.00" K7 @- X% B+ A
  13. Features        : fp asimd crc32: _4 E6 Z2 ]6 _! t, F1 T4 H  x
  14. CPU implementer : 0x41" d9 n/ q7 d8 ~3 A; n& A" Y- X
  15. CPU architecture: 8# c- J! h1 T* y
  16. CPU variant     : 0x0
    6 @, C" G; _& i7 ?% M" X
  17. CPU part        : 0xd034 b; ^3 v. E; \/ H2 N# I6 |' Y$ g! y
  18. CPU revision    : 4
    ( b- J. J( R. Y" R$ t- [9 M
  19. , [% z: l+ j* B$ e+ k# d6 U" i
  20. processor       : 2
    , ~) g3 `( H! m% v
  21. BogoMIPS        : 50.00+ S4 r  A, {( l
  22. Features        : fp asimd crc32* a- C- P' ?. y" R. g+ Z
  23. CPU implementer : 0x416 \4 E8 a' M& {0 u8 V
  24. CPU architecture: 8
    " X: O8 z. E( y; S# M4 B
  25. CPU variant     : 0x07 ]3 M3 _; Q1 j& l* K
  26. CPU part        : 0xd03
    ! |: \8 P1 l# R  _* ~  U
  27. CPU revision    : 4" v# R1 m; v# g9 |3 f* ]
  28. . [8 L8 ?; p6 M5 C
  29. processor       : 33 U7 u1 I" ~0 P% ~
  30. BogoMIPS        : 50.00
    1 \6 Y  ~  G" c% g; K) R6 Y3 u
  31. Features        : fp asimd crc32' ~: |5 k1 C* Q5 A* X- H$ _8 l
  32. CPU implementer : 0x410 V. P' G  H6 |$ J
  33. CPU architecture: 81 M; L! D! @# l( r. N. n2 X
  34. CPU variant     : 0x0
    1 R9 ?* C$ O' Y+ N& o; i
  35. CPU part        : 0xd03* A, |5 p# h& T: v2 w' {9 t2 r6 J. f
  36. CPU revision    : 4
复制代码

% @; X; s% @3 v0 X3 \% M
6 p* f+ J3 y0 }+ _- u/ m/ o

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
发表于 2022-9-12 18:03:24 | 显示全部楼层 来自 中国陕西西安
转下之前回复的贴子:
5 A' q8 y, C+ g  f7 ^1 ]; S6 y说下改地区及永久获取telnet权限步骤吧,其实很简单,总结如下:
' q% k& z( a9 m1 c) n" H  btelnetONU1.6版本(需要官方授权,或者找楼主,联系群内大佬支持,楼主和群内大佬都很热心肠,能看出来都是喜欢折腾的大神...聊天点击楼主建的链接https://stin.to/u5xdx$ O; e/ |, ]& U- G8 O  y' D

+ }8 T6 S; P$ M: N5 r软件界面直接点击获取用户名和密码,可以得到临时telnet账号密码. y1 @- s9 @3 W6 N2 k# v
更改地区步骤7 E4 a7 N) [4 Q# J! f4 H9 ~  F3 e3 q- S
输入命令:/etc/init.d/regioncode ,获取自己所要切换省份代码,比如陕西315(注意:山西是shanxi2)# C# }/ E6 H; z. X0 E: O
输入命令:upgradetest sdefconf 315
8 T0 k1 J) ]0 N) p光猫会自动重启, p" K0 K, K: t

0 w) G' Y1 R& W% t切换地区后终于可以正常下发配置了,不用自己手动设置那么麻烦了!
4 }* t% Q* X% f3 [这个应该是陕西第一台正常下发配置的中兴FTTR设备F7607P了吧?哈哈。。。
* h" c5 p& o5 ~* {- ~$ S0 F, x+ O4 {- x( F  ~: B3 Q
中兴和华为这两套FTTR使用下来,这个确实比华为那套强多了(没有贬低的意思,华为那个也够用,只是中兴这个配置确实很强)  A5 g$ a" u3 f( q& @

& ^# Q+ E' n' K8 D, X: ^3 g8 p8 _获取永久telnet权限步骤:
9 f# A6 J/ u6 ^; E5 m1 G: u, usendcmd 1 DB set TelnetCfg 0 TS_Enable 1                开启telnet0 h2 C$ i# u* W1 W, k# M3 H% f
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1               开启本地telnet
4 P4 r9 A2 h/ n( O: F' xsendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1  在OLT注册之后继续开启本地telent
& s: g( K7 e0 g; o$ Jsendcmd 1 DB set TelnetCfg 0 TSLan_UPwd XXXX   修改root密码为xxxx
: U. E9 x$ o; h& E! @- _) ssendcmd 1 DB save                                                   保存
$ O/ o- ~2 ~/ E& B2 i- c6 V1 o记得重启光猫$ O! p' `5 {) B1 ^. s6 ~

) x6 A) l' \8 D# W+ x3 j获取telnet后这些已经足够用了,如果想要更多命令,可以参考如下链接
( A0 u% ]- ]* u3 K0 J) y, E# f  z, Nhttps://www.daimajiaoliu.com/daima/7b7570abf4c6802
回复 支持 2 反对 0

使用道具 举报

发表于 2022-9-13 18:58:24 | 显示全部楼层 来自 中国湖南常德

& B4 n& A- i1 a: a& A
. p  G' \' B" R5 G7 s老板有没有G1620的备份文件! @$ l3 Z0 T7 O6 B

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x

点评

大佬,这个是什么版本的固件?硬件版本多少的?  详情 回复 发表于 5 天前
你好,首先谢谢分享!小白想问一下这个版本是刷全部分区还是部分分区的呢?  详情 回复 发表于 2022-11-20 22:27
应该是下载有问题,我今天试了在论坛下载后解压没问题  详情 回复 发表于 2022-9-15 17:03
谢谢分享,不知是压缩包上传有问题,还是我下载有问题,下载了几次都解压失败。。。  详情 回复 发表于 2022-9-15 00:30
回复 支持 1 反对 0

使用道具 举报

 楼主| 发表于 2022-9-13 11:07:15 | 显示全部楼层 来自 中国四川绵阳
  1. sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1( G+ ]" c9 f8 d! u6 ^8 k
  2. sendcmd 1 DB set TelnetCfg 0 TS_UName root
    3 I" R" }( |, U
  3. sendcmd 1 DB set TelnetCfg 0 TSLan_UName root
    3 _7 O' d0 I+ H( o8 R2 {
  4. sendcmd 1 DB set TelnetCfg 0 TS_UPwd Zte521
    , I8 b6 a) |# p( |' P
  5. sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd Zte521# R& y2 ^5 x4 }/ k$ F/ b0 h
  6. sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 999999: F/ W3 u2 X0 ]- `
  7. sendcmd 1 DB set TelnetCfg 0 WanWebLinkToTS 10 z" L: M( E- R; i2 r. R
  8. sendcmd 1 DB set TelnetCfg 0 ExitTime 99999999
    - o( h6 }$ i& c5 w, z
  9. sendcmd 1 DB set TelnetCfg 0 CloseServerTime 99999999
    5 K9 F! z( v0 z1 W+ C8 w& Z  v. ]& i, }
  10. sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3" V, h$ s0 C! X% D9 t' h8 t
  11. sendcmd 1 DB save& t1 O. Y$ ]8 \/ L7 Z
  12. reboot
复制代码
0 X  ]8 L7 b9 z1 B0 a9 N( n
InitSecLvl猜测是控制root用户名权限的,山东移动定制版默认为3,河南联通为0,河南联通的root账户登陆后运行很多命令都权限不足,改为3后正常
回复 支持 1 反对 0

使用道具 举报

发表于 2022-9-11 11:05:19 | 显示全部楼层 来自 中国广西南宁
感谢楼主大神分享!支持一波!!!!!
回复 支持 反对

使用道具 举报

发表于 2022-9-11 12:49:08 | 显示全部楼层 来自 中国广东深圳
请教一下,debian如何挂载jffs2格式。并且打包导出
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-9-11 13:02:41 | 显示全部楼层 来自 中国
caijay2009 发表于 2022-9-11 12:49, m: o! U2 q/ A* |
请教一下,debian如何挂载jffs2格式。并且打包导出

( a6 u7 E) W6 a8 w1 L安装mtdram,生成虚拟的mtdblock设备,然后把提取出来的闪存镜像dd到虚拟的mtdblock,然后挂载出来。其他格式的分区镜像都同理
回复 支持 反对

使用道具 举报

发表于 2022-9-11 16:56:11 | 显示全部楼层 来自 中国河北张家口
这个能补全界面吗?
回复 支持 反对

使用道具 举报

发表于 2022-9-11 16:59:06 | 显示全部楼层 来自 中国广东惠州
请教一下,怎么telnet进的啊
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-9-11 19:38:52 | 显示全部楼层 来自 中国四川绵阳
ht514414031 发表于 2022-9-11 16:59# v5 @9 n; J- E8 m- ?
请教一下,怎么telnet进的啊
  l  W% E( I9 F" ]1 K2 |- G
工具是别人的,远程帮我开启的,目前不会破解软件
回复 支持 反对

使用道具 举报

发表于 2022-9-12 15:44:42 | 显示全部楼层 来自 亚太地区
有大神分析一下,CMCC,成功的引起我的强迫症
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|宽带技术网 |网站地图

粤公网安备 44152102000001号

GMT+8, 2022-12-3 20:28 , Processed in 0.539203 second(s), 31 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表