转贴 H608B密码规律

tingtingzy

再谈H608B的破解
（阅读提示：本篇只提供了一些信息，并没有给出确切的破解方式。 不过如果你仔细阅读的话，还是能从理论上找到完美破解的新方法的。 ^_^）

早在去年7月份，经过坚持不懈的努力，我终于把H608B路由器给破解了，然后可以完全享受信息高速公路为我们带来的巨大便利。 本以为写了篇教程发了一系列相关文章，热几个月就应该淡出话题了，可没想到从那时起，平均每天都有二三百人通过各种搜索引擎找到这一系列的文章，然后发表评论或者email问我问题，也有不少朋友直接找到了我的MSN方式并希望我在线指导。 上回LP看我在电脑上忙，问我在做啥？ 我一边打字一边说，“在回复读者来信。。。” 说完，我们二人都觉得无比好笑－－怎么自己也成了需要“回复读者来信”的人了：）
根据近几个月的“读者来信”反映，我发现全国各地电信在对于H608B账号的处理方面做法不一。 有些地方已经把账号还给了用户－－就用初始密码nE7jA%5m，也有些地方在经过用户不断投诉后，终于同意为用户定制服务，比如打开端口映射、UPNP等功能。 至于无线功能，在大多数省市还是直接开放给用户玩的。
然而，很明显，“教程”里提到的破解方法（利用FIX补丁）以及通过USB上传参数文件的方法现在已几乎都失效了，这是因为厂商也知道我的“教程”（没办法，已经被广泛转载），新出的软件版本和硬件型号都已屏蔽了网上流传的补丁，他们在CONFIG文件中也关闭了“USB上传可能”、“FTP上传可能”以及“TELNET服务”的开关－－因此除了使用正确的密码或者新制作的补丁外，基本上没有软件破解的可能了。（还有一种硬件破解办法，就是打开路由器，在CPU边上接根数据线。路由器使用的是UNIX操作系统，对此网上也有介绍，我也打开过路由器找到了那个数据插座，但我没读取数据的设备，所以就不试了）。
本不打算再写这方面的文章，可昨天遇到一位热心的网友（flashermaster），他的路由器至今没有破解成功，因为版本很新。但经过他的努力，电信施工人员告诉了他整个账号管理的机制，他也把这个信息告诉了我，我觉得很有必要再写一篇文章来与各位网友分享，而且这也不是什么秘密。 说来也巧，今天又有位貌似电信圈内的网友在我的blog上发表了评论，介绍了“双栈模式”的原理。在此，我也在本帖中复制一下，供有兴趣的朋友参考。

（以下是今天收到的关于“双栈模式”的评论，可惜发表者没有留下网名，在此先表示感谢！）

双栈是指DHCP以及PPPOE方式共存，优先DHCP，如果收不到DHCP响应若干秒后，机顶盒自行进行PPPOE拨号
              双通道的意思是上网、IPTV方式完全分开，用不同通道：一个是8/85，一个是其他（各个地区设定可能不同）
              那个ad×××@iptv帐号能随便输是因为你用的双栈方式，实际起作用的是DHCP方式，当然DHCP服务是起在电信那端，用的是8/85那条通道。
             其实那个E8的modem没有什么好破解的，里面那么多参数电信也基本用不到（除了那个UPNP参数可能对某些应用有影响），电信用这种猫其实更多的是想便于维护以及提高客户服务。现在网络变革很快，新的应用也多，必然涉及网络改造、割接等，用这种猫的好处是只要猫上电后电信可以将新调整的设置下发到猫里从而不影响用户使用，实现无缝割接改造，这样就大大减少用户中断时间，总不见得像以前一割接用户就中断吧。
             至于某些大家觉得有点奇怪的问题可能是因为电信那端没用全部设置好。一个宽带用户要完全服务好，目前在电信可能设计好几个部门，一个地方没用做好就可能影响客户的感受度。

我感觉这位朋友应该是电信人士，对此我也发表了一些评论，有兴趣的可以到具体的帖子里去看，这里摘录几句我的观点：

从用户角度来讲，现在所谓“矛盾”最突出的，恐怕就是对于P2P传输的需求。 在BT、EMULE以及类似的P2P软件已经快要成为主流下载方式的时代，电信却在路由器上面作限制，不为用户设置，很明显，所造成的负面影响是会被无限放大的。 要知道，现在很多官方网站都采用P2P下载方式，例如魔兽世界游戏客户端（九城网）、一些知名电视台提供的在线电视直播等等，如果路由器不支持，信息高速公路建得再好也是摆设。

正如楼上所说，“一个地方没有做好就会影响客户的感受度”。造成我如此“拼命”研究破解的动力，不仅仅是自身兴趣，更重要的是我多次找电信咨询和投诉，却没有得到满意答复（见正文），到后来账单来时，竟然还被无故多收几十元！ 可以说，这完全是逼出来的～～～ 哎！


接下来，让我们一起来分享一下flashermaster同学给我们提供的宝贵信息。 聪明的你，在看了这段信息后，相信已经找到了完美的破解方法！（是的，可以找到正确的密码，这样不必让路由器初始化，因此把路由器弄“坏”的风险可以降低到几乎为0！）
估计falshermaster同学的公关能力超强，他竟然让电信施工人员道出了“天机”－－整个H608B账号的机制是这样的：
1. 路由器在出厂时候，初始密码的确就是网上通用的那个nE7jA%5m ！然而在路由器第一次通电、拨号之后，电信端会把配置文件自动下发到路由器中。 这个过程是强制执行的、是不需要密码就可以完成的。 完成后，路由器的telecomadmin密码就已经被改变了。
2. 那么坐在你家的施工人员是怎么知道你的密码呢？ 关于这个，我当初也注意到一个“规律”，就是每当施工人员需要登录路由器时（哪怕你打电话要求远端的工作人员为你服务时），对方都要先问你路由器上面贴有的“设备标识号”是多少？ 我一直认为标准的密码是和这个标识号有关的。 现在知道了，原来在电信内部，是有个类似“密码分配器”的软件和表格（其实是在他们内部网络里可以查的），每个路由器设备对应一个8位的随机数。只要你报上设备标识号，他就能查到对应的随机数，然后呢？ 嘿嘿，这个随机数还不是密码！ 正确的密码就是：nE7jA%5m再+这个8位随机数！！！  换句话说，我们千辛万苦找的telecomadmin密码，是类似nE7jA%5m12345678 这种形式的字符串～～～
3. 关于密码自动更新的机制： 我一直纳闷，在这拥有13亿人口的大国里，为何一年多来，从未听说过有谁成功地从电信那儿问到这小小的密码的？！ 原来。。。。电信每次成功登录路由器之后，相应的维护完毕以后，那个密码，就会被自动改变！ 所以你路由器当前的密码是多少，是没有人能提前知道的，必须“上网查”（内部网）。而即使查了告诉你，下次也可能会改掉！
4. 探索：记得在路由器设置菜单里面，在“维护”模块中，的确有几处感觉是和生成电信维护报告有关的段落。 好像有个按钮（我现在懒得去查，因为也没必要），按了以后，会向“维护服务器”发送“此次施工完毕”的指令。 我猜想会不会这个指令就是触发系统再次生成新密码的开关？ 也许是吧～～ 好在我已经把整个自动维护机制关闭了（具体有三处，详见“教程”），所以即使我误发了“施工完毕”报告，得到的也是“系统错误”－－没事！
5. 应用：这个段落我就不详细写了。 聪明的玩家自然能从上述信息里找回信心－－因为你已经知道了密码的格式，而且后8位是纯数字的，所以只需要一段时间，依靠“暴力破解”，也能很快找到当前的密码值的。 当然，如果要这么做，你还必须把login.htm文件下载到本地，手工关闭“输错3次强制延时”的机制（这很容易），然后搞个暴力破解工具，暴力破解你电脑硬盘上的login.htm文件（而不是路由器上的！），RP高的话，估计一晚上就能搞定～
有谁成功了，请告诉我哦～～

呼啸声碎

MS有点道理  呵呵

xlingz

好深奥，有点晕

MINE

在我一年多的破解H608B HG522 等电信定制版本的过程中，江苏、浙江、上海、重庆和福建等地的超级密码在第一次加电后的超级密码变成了telecomadminXXXXXXXX
8个X是8位随机数字，而我从未见过以nE7jA%5m打头的密码。
关于设备标志号跟8位随机码的关系，我虽然不是电信，但从我的破解过程中来看，几乎是没有直接联系的，之所以电信要用户报设备标志码，道理很简单，在电信的ACS系统中，各种用户终端都是以8位设备标志号的形式存在的， 而不是以“张三”、“李四”或“H608B”的这样的名字存在。
电信的ACS其实就是一个数据库，其中有很多关键字段，设备标志码就是其中这一，还有MAC地址，用户代码等等，当然还有超级密码，详见我去年发的一个图文帖子（具体链接我也不记得了）。

所以，不是泼冷水，除非搞到电信的密码生成算法或直接搞到密码生成器，否则谈密码规律是扯淡。

plmo

如果拿到猫后，不让它上网，第一时间就用预设密码登陆猫进行修改，再联网可否达到效果

zendic

暴力破解还是有可能的

swgweb

可行！

恩，不过密码前置是“telecomadmin”+8位数字

提醒一下要破解的朋友，先拔了电话线！别刚破解成功就被又改了 ^_^

用溯雪，8位数字，应该在30分钟内就搞定了。

tingtingzy

可行！

恩，不过密码前置是“telecomadmin”+8位数字

提醒一下要破解的朋友，先拔了电话线！别刚破解成功就被又改了 ^_^

用溯雪，8位数字，应该在30分钟内就搞定了。
swgweb 发表于 2009-5-30 21:36

郁闷啊，下载页面后想改登陆3次延迟的设定，结果发现下载的页面无法做登陆动作

tingtingzy

该死的60秒延迟，在下载的脱机页里改掉根本没效果
楼上各位有谁成功过啊

edc

还是用ttl线，一看就知道