上海电信华勤HGU421v3破解（应该也可以适用其他省份）

homey123

本人2012年10月份安装的光纤上网，一个华勤的光猫，一个无线AP，无线AP暂不去管它。只是这个光猫太让人纠结了，P2P的应用都超慢。经过海量搜索后终于搞掂了这个小野猫了（但不是绝对完美，原因后面第6步会提到），PS：百度搜索真不能用，指望百度给结果可能这辈子都没戏了。还是GOOGLE给力，下面所有的信息都是通过GOOGLE+GoAgent搞掂的。

• HGU421设备基本信息：
  设备型号 : HGU421 v3
  设备标识 : XXXXXX-XXXXXXXXXXXXXXXXXX
  硬件版本 : A0B
  软件版本 : 132.UYY.0.B.0.SH
• 所需设备
  " S& y6 N( e8 i0 OWindows操作系统
  # T- A. P6 r( THGU421 v3光猫
  USB转TTL小板，，淘宝上有卖，价格10-20元左右，别往了让掌柜带上杜邦线，不然没法连接板子。
  十字螺丝刀
  putty.exe，串口/Telent连接用软件。（http://www.putty.org/）
• TTL连接光猫
  ; z) Z. R# \: Z, ]连接光猫的原教程在（https://www.chinadsl.net/forum.php?mod=viewthread&tid=79331）
  打开光猫的外壳（去掉背面的４个胶皮踮脚就可以看到螺丝了），用杜邦线连接到板子上
    G6 K8 n$ i1 J" X+ ~* w2 J6 a$ U" d
  & Z  V# R9 A/ P+ _- z: @. Z* v* n线序为GND，空，TX，RX，空。空代表什么也不需要接，所以只需要三根杜邦线就可以了，一根连接USB转TTL小板与光猫的GND，另两根分别接小板与光猫的TX/RX。
  9 x8 _6 n' h% Q& \3 l6 q/ f打开putty.exe连接到串口，波特率为115200。
  光猫接通电源，这时候应该就可以在串口界面上看到打印了。
• 登陆串口
  接通电源后等待两三分钟，在这一段时间内串口应该会打印很多启动信息，等启动差不多完毕后，敲回车应该就可以看到下面的登陆提示了
  BCM96828 Broadband Router
  Login:
  
  用户名密码就用上面图片上的，这时候基本上就可以完全控制光猫了。
• 获取telecomadmin的超级用户密码。
  在">"提示符下输入dumpcfg会打印配置信息出来，查找telecomadmin字符串就可以得到超级用户密码了。
  
  至此为止我们应该就可以用telecomadmin的用户登陆光猫的WEB界面了，设置神马端口影射，DMZ主机，PPPoE用户名密码应该都没问题了。BT/eMule又可以全力开动了。当然还是吸血雷最给力了：）
• 其他
  : Z& E) B" [7 H+ x, z这款猫的调试方法在这里可以找到（http://wenku.baidu.com/view/9edfdcdece2f0066f53322e1.html），里面248页提到了一个Super User，用Super User登陆可以登陆许多隐藏的Web界面，经过测试，这些隐藏的Web的界面用telecomadmin用户是无法访问的。所以猜测光猫实际上应该存在三个权限级别的用户：
  useradmin: 给普通用户使用的账号，密码在光猫背面的贴纸上
  telecomadmin: 给电信管理员使用的账号
  Super User: 最高权限级别，应该是厂家内部使用的
  等待高手能把Super User给破了，基本上这款小野猫就可以被完全驯服了。
• 小技巧
  , f0 P5 e2 u7 _: V登陆串口后，可以带开telent服务，这样以后再次登陆光猫就不用串口了。在串口下输入：
  > localservice telnet enable
  " b* U% K) s& r' ]# y  D4 [' f> save
  . x) x, f' a- I当然这样也有一个小问题，这个telnet服务也可以被外部访问，例如光猫pppoe的外部ip是202.19.11.22，这个IP地址也是可以从外部telnet登陆的。目前我的解决方法就是每次重启光猫后，telnet到光猫然后关闭telnet服务：
  > localservice telnet disable
  9 \6 g1 K6 _3 S虽然麻烦点，好在光猫一般几个月也不重启一次。（另外还有个ftp服务可以用localservice ftp enable开启，用户名密码都是e8ftp，暂时用不上所以没开）
  telnet用户名密码都是e8telnet
• 光猫根文件系统下所有文件列表：
  
  % z) p% V( U  t( _可以在/webs目录下查看到所有html文件，其中有些可以html文件用useradmin/telecomadmin用户都无法访问，猜测用Super User用户应该可以正常打开（残念）
  

heziguo

      </X_CT-COM_Syslog>
6 w0 Y3 A1 f0 f      <X_CT-COM_ReConnect>
        <Enable>TRUE</Enable>
      </X_CT-COM_ReConnect>
* I8 A& m) m2 R% e9 |  I      <X_CT-COM_ServiceManage>
1 z: O8 W+ `2 Q$ X+ {: Y        <FtpEnable>TRUE</FtpEnable>
2 h* L1 X6 X+ u/ P7 J& c        <FtpUserName>e8ftp</FtpUserName>
) k( d7 r* b& m        <FtpPassword>e8ftp</FtpPassword>
        <FtpPort>21</FtpPort>
7 b1 e" z- t9 ~# ^3 j8 s. [        <FtpChanged>TRUE</FtpChanged>
8 a7 s, e  t6 Z# C/ d% d8 b/ b" R        <TelnetEnable>TRUE</TelnetEnable>
        <TelnetUserName>e8telnet</TelnetUserName>
        <TelnetPassword>e8telnet</TelnetPassword>
- z# x1 Q- \1 o9 u- q        <TelnetPort>23</TelnetPort>
$ e" B5 h. ?  d+ j        <ConsoleUserName>admin</ConsoleUserName>
0 P2 s4 P- h# ]6 Y5 q        <ConsolePassword>v2mprt</ConsolePassword>
: d0 L9 h. l5 J, S, h6 e1 H1 {
" I0 f5 x! h' ytelnet的账号密码是e8telnet  e8telnet
  `! m8 F7 l2 h4 r0 N我是用的dumpmdm这个命令找到的

644196867

现在的光猫真难搞

heziguo

dumpcfg这个还是第一次听说
你是怎么知道的啊我上次TTL登录进去什么都没用
基本看不到什么有用的命令

homey123

heziguo 发表于 2013-4-20 23:51
; h7 L. J- V5 Q. u, D! k9 p, d0 F0 jdumpcfg这个还是第一次听说
你是怎么知道的啊我上次TTL登录进去什么都没用
, ]4 ]* m+ K3 r5 O, ?基本看不到什么有用的命令

在">"提示符下敲个问号“?"就可以看到所有的命令了！
( U  C$ ]2 a0 ^2 F$ u( \还有 > wanlimit set totalnum 20 可以把可连接的PC数加到20个（默认5个）

heziguo

wanlmit set totalnum 20 这个也是？里面的？

homey123

heziguo 发表于 2013-4-21 11:10
wanlmit set totalnum 20 这个也是？里面的？

7 n. V7 I" D- j7 W是的，修正一下刚才的命令，少写一个了字母，应该是wanlimit set totalnum 20，设置完后需要save一下，不然下次重启又恢复了。如果要查看命令的使用方法，直接敲命令就可以了，在没有带参数的情况下，会提示该命令的usage，不过有些不需要带参数的命令，如果直接敲就执行了，例如save。
& c) o4 {$ U9 j4 H
串口上输入用户名/密码登陆后，输一个问号所有的可用命令就列出来了。
BCM96828 Broadband Router
& y7 `1 N7 f8 M0 jLogin: admin
8 {# w4 A3 _) A  APassword:
>
> ?
! p3 d6 V. d8 F1 b?
: A$ i+ V8 m9 k0 A( O3 zhelp
logout
exit
quit
$ n/ i' y3 j% G+ r) ^# w4 \9 b  T) rreboot
brctl
cat
loglevel
logdest
virtualserver
- O" S, r2 ~& ^1 j" Dddns
df
2 G7 X9 d) B0 |dumpcfg
dumpmulticfg
dumpmdm
meminfo
6 e0 N) W) ?, r0 S# l+ W1 Ppsp
) J2 B* h* w, Y& S9 }5 Y" i3 I( jkill
dnsproxy
/ s! Y! p% X1 V' _syslog
echo
ifconfig
6 C& E+ G% e$ g- s2 i$ eping
ps
& w: X$ n+ P6 g7 d( Y+ mpwd
2 N! w. ^' D) p/ x2 b1 U$ Xsntp
sysinfo
tftp
voice
8 F# b: _0 o  U/ swlctl
/ l- E8 W  B. x# V4 {5 Rarp
1 n1 n; v1 F# z. ]3 fdefaultgateway
, \" c  R1 B2 H: U% l6 G! Vdhcpserver
dns
lan
$ n+ v' H; y# N9 j: Hlanhosts
3 z/ R+ S! o3 ]! ?7 Spasswd
: e( A% R; y! [ppp
3 u$ p4 Q* u5 N, frestoredefault
psiInvalidateCheck
route
save
0 o+ A3 Z) y, D8 c7 v8 {swversion
2 [; Y/ I4 N3 R9 r2 r0 Z; uuptime
cfgupdate
swupdate
exitOnIdle
wan
2 }, e9 k8 U' N3 Z1 p( Tbtt
oam
1 q# x) v7 B& J7 R- z3 slaser
overhead
sendInform
( z  E9 \* {* I, \% p& H5 wwlanpower
" d# D. ^* o7 A. |8 f; _atbp
ctrate
' k$ N; o6 E1 n' _, u5 _5 u& Ytestled
ipversionmode
dumptr69soap
  S( q: U/ o+ Y2 H7 \/ c8 {8 }lan2lanmcast
telecomaccount
wanlimit
2 G5 @" j; U$ `/ x' y- H" ~" Quserinfo
1 d8 j2 i+ r8 R$ W6 \6 Ulocalservice
' u* d' ^3 I1 r" Z/ ztcptimewait
atsh
option125Mode
eponlinkper
setponlinkuptime
3 n, D, ?) k3 Floidtimewait
>
2 }9 O8 k( }) O; q  L' c >
) g! N# w9 ]$ h* v- [" \# O: h--------------------------------------------------------------------
查看wanlimit的使用方法
' [$ |+ K  |. _9 t >
> wanlimit
usage:
, n) t( ]+ E8 L3 a  h/ X   wanlimit show: show the wan limit information.
   wanlimit set mode <0|1|2>: set the mode of wan limit, 0:disable  1:enable mode 1 2:enable mode 2.
+ P' D$ O# A- ]( ^  F3 Z. I0 d   wanlimit set totalnum <number>: set the TotalTerminalNumber.
1 U1 X" r' W( w   wanlimit set stbenable <0|1>: set the STBRestrictEnable, 0:disable  1:enable.
& X5 C; L/ c6 O0 o2 R+ j- T/ Q; t   wanlimit set stbnum <number>: set the STBNumber.
2 [1 ]* _3 N% a0 m( X# K, b4 ~- b   wanlimit set cameraenable <0|1>: set the CameraRestrictEnable, 0:disable  1:enable.
3 v; A* k6 Y' S   wanlimit set cameranum <number>: set the CameraNumber.
   wanlimit set computerenable <0|1>: set the ComputerRestrictEnable, 0:disable  1:enable.
# ~) X: k1 C  `) _   wanlimit set computernum <number>: set the ComputerNumber.
   wanlimit set phoneenable <0|1>: set the PhoneRestrictEnable, 0:disable  1:enable.
   wanlimit set phonenum <number>: set the PhoneNumber.
$ }8 ]5 _1 K- i  | >
  O! m- |9 `) [: ^5 _很容易理解wanlimit set totalnum就是设置终端连接限制数的命令了。

swcnchen

好贴！谢谢楼主。

dsb007

厉害！重要的就是串口连上去的密码啊！

快乐大叔

您好，老大，这个问题没有，（SUPER USER) 能处理吗?
请问，如何修改配置文件，我想给HGU421N V3开多一条SSID,看到里面有4条，但只有一条能给我们用，而且还不能改前面部份，请帮忙，谢谢，我家ITV也是无线的，拉根网线从客厅中间穿过实在太丑陋了。(daku:

homey123

快乐大叔 发表于 2013-5-8 00:16
您好，老大，这个问题没有，（SUPER USER) 能处理吗?
; \! A7 h1 z, G& w, `) n, k请问，如何修改配置文件，我想给HGU421N V3开多一条S ...

猫的无线功能被关闭掉了，新的家庭网关无线功能都给关闭了！
( u( }) U9 g, d, T* L+ I我也不会开这个，后来偶是接自己的无线路由拨号上网的。