北京联通光猫华为HG8346R破解方案大公开
本帖最后由 irc163 于 2016-6-16 22:49 编辑北京联通光猫华为HG8346R/HG8321R破解方法介绍
北京联通的华为HG8346R是我接触的第一个光猫,因为2015年7月初刚刚进行了光改。原以为光纤安装完毕后就很简单,哪料到此光猫为路由模式了,客户只有普通用户权限,里面的设置就是供你看看,想加点常用的诸如端口映射、开UPnP等都是不行,PT下载就不给力了,于是决定破解。 去X宝上问了问,发现都说这个猫很难破解,只有一个人说可以,叫价80元。 本来我以前就是搞软件的,反正最近也不是很忙,求人不如求己。经过20多天的研究,终于搞定此光猫,同时还学习和掌握了较多的华为光猫的设置以及破解知识。
北京联通华为HG8346R固件基本的情况
固件版本为 V300R013C10S112
此猫破解的难点:
① hw_ctree.xml 配置文件里面没有超级管理员账户,即使长按RESET恢复出厂模式后也是一样。 没有电信光猫那样恢复出厂模式后有 telecomadmin 超级管理员账户,也没有像其它地区联通光猫那样有 CUAdmin 账户。
以下摘自解码后的hw_ctree.xml配置文件:
-<X_HW_WebUserInfo NumberOfInstances="1">
<X_HW_WebUserInfoInstance InstanceID="1" Enable="1" Password="h559fvxj" ModifyPasswordFlag="0" UserLevel="1" UserName="user"/>
</X_HW_WebUserInfo>
可以看到web登录只有一个 user 账户,用户密码为明文,并且没有更改过。
另一台光猫:
-<X_HW_WebUserInfo NumberOfInstances="1">
<X_HW_WebUserInfoInstance InstanceID="1" Enable="1" Password="5930f2851b57a9d83d341882b97f66480abbce1821fe0bb55a592412175045fa" PassMode="2" ModifyPasswordFlag="1" UserLevel="1" UserName="user"/>
</X_HW_WebUserInfo>
可以看到web登录只有一个 user 账户,用户密码是用MD5+SHA256双重加密的,这是以后一段时间华为光猫配置文件解码出来的主流了。 MD5和SHA256是不能逆向破解的,只能暴力破解。所以如果密码的明文是复杂密码的话,想破解几乎不可能。
② 配置文件解密后,其中凡是存放密码的部分仍然是密文的形式存在的。因此也无法通过解密hw_ctree.xml方式后看到诸如语音鉴权密码等重要信息。
ManagementServer Password="$1I!xxEnCH.)l'k:*fsfL72g%!$" Username="cpe" X_HW_DSCP="0" X_HW_CertPassword="$16haQJY=:U'R`cLQi}aR>2g%!$"
ConnectionRequestPassword="$17sy(~.fgSLvGQX3$2R<G2g%!$" ConnectionRequestUsername="acs"
+<SIP URI="+861063551238" AuthPassword="$15p'W*q861063551238@bj.ims.chinaunicom.cn">
上面这个是与语音功能非常相关的鉴权密码部分
破解北京联通华为HG8346R所需要的工具软件
① 华为光猫ONT维修使能工具
由于北京联通华为HG8346R的固件是V300R013C10S112,因此随便在网上搜寻一下都可以找到2014年12月出的使能工具并下载(本论坛上也有,不过需要猫粮),就可以打开此光猫的Telnet。 而如果你的光猫已经是R013C10S121及以后和R015版本的固件的话,需要使用更新版本的ONT使能工具了(比如2015年7月的V300R013C10SPC800的版本)。
② tftp32
用于备份配置文件,可以到: tftpd32.jounin.net 下载。
③ Windows下的华为配置文件解密和加密工具
这个工具可以在Windows下对华为hw_ctree.xml进行处理,可以解密解压缩成为明码的形式,同时也可以加密压缩还原为原始的形式。相当于华为光猫中的 aescrypt2 命令。
④ su密码算号器 (R015/R016版本不需要)
用于计算su密码,进入su_wap模式。
破解北京联通华为HG8346R方法
① 使用华为光猫ONT使能工具打开Telnet
② 进入Telnet后 (用户名:root 密码:admin),使用backup cfg 命令备份出自己光猫的配置文件 hw_ctree.xml (配合tftp32)
备份配置文件对于无损破解光猫,还原你光猫原有设置起非常重要的作用。它至少有以下几方面的用途:
⒈ 光猫破解完成后,将稍加修改(主要是超级用户的密码部分)的配置文件重新导入回光猫里面,使光猫恢复原先光猫里面所有的设置,因此再不用担心语音不行、ITV不行、上网不行了。
⒉ 你要是自己换猫的时候,如果更换的也是华为基本同类型的猫的话,直接将原来的配置文件导入新猫里面去,原来猫里面的所有设置一下就在新猫里面设置好了。
⒊通过对原配置文件以密文形式存放的诸如语音鉴权密码等信息进行解密得到密码明文,即使在你更换其它厂家,比如中兴、烽火的光猫的时候,同样可以配置成功,保留原猫的所有功能。
因此我个人感觉:如果自己光猫的配置文件在手,有走到哪里都不怕的赶脚啦。因此备份配置文件非常重要。
③ 得到配置文件后可以使用SU命令,然后输入su的密码提权后(R015及之后版本不需要su密码),通过shell 、restorehwmode.sh 命令将光猫恢复为华为界面。
④ 使用hw_ctree.xml配置文件解密工具将其解码后,将其中的UserLevel="1"修改为 UserLevel="0" ,即将user用户变更为管理员权限用户
<X_HW_WebUserInfoInstance InstanceID="1" Enable="1" Password="h559fvxj" ModifyPasswordFlag="0" UserLevel="0" UserName="user"/>
其中的Password项也可以修改为自己需要的密码。 然后再使用配置文件工具将配置文件加密压缩还原成为华为光猫里面的状态,从而便于今后导入光猫中。
其中C2为配置文件加密解密工具(命令行使用), guo.xml 是从光猫导出的hw_ctree.xml 配置文件, 通过C2工具先解码成为 guojiemi.xml 然后用记事本修改后,再通过c2工具加密还原成为guojiami.xml文件。
⑤重新启动光猫后,已经恢复为华为登录界面,并且有telecomadmin超级用户权限,登录进去以后,使用配置文件导入功能将上面生成的guojiami.xml配置文件导入即可。光猫重新启动后,以前的所有设置全部恢复回来了。
恢复到华为界面后功能强大(同时比电信和联通界面下超级管理员的功能还多一些)。
路由和桥接可以自由选择
端口映射可以设置
有些人很关心的连接电脑台数的限制可以修改,也可以不启用。
其实经过这段时间研究后才发现,这个北京联通的华为HG8346R在破解上算是不难的,而X宝上只有很少人能够破解,说明X宝上光猫破解人的水平大部分也都一般。经过进一步深入的研究,目前可以说即使安装了最新固件版本的猫(比如R013C10S123或者R015、R016等),也有方法搞定,同时光猫的语音鉴权密码也有方法可以解码。有需要技术支持的可以PM。
新的光猫安装的是 V300R015C10S109 或 V300R015C10S111 或 V300R016C10S115 版本的固件,用同样的方法也可以搞定。
文中所使用的工具论坛都有,请自行搜索。
zh_aoyang 发表于 2015-11-16 23:57
请教LZ大神,我是北京联通8346R,版本号是V3R015C10S109,跟上面122楼说的一样,试了好几个使能工具都不行 ...
我试验过了,不拔光纤也没问题,可以 的 石光上林 发表于 2015-8-22 23:40
WAP>display version
hardware version = 4B4.A
main software version = V3R013C10S122 ...
确实像HG8247a,但与HG8247a反而差别较大(HG8247a有CATV接口)。
你现在到底是要破解超级密码呢,还是要破解被加密的配置文件?
antitel 发表于 2015-8-17 10:10
8247H在大陆没见过,只玩过8245H和8247(a)
能否发版本号一看:
display version
WAP>display version
hardware version = 4B4.A
main software version = V3R013C10S122
standby software version= V3R013C10S122
uboot version = 2010.03
success!
WAP>display deviceInfo
*************** device information ***************
Manufacturer = Huawei Technologies Co., Ltd
ManufacturerOUI= 00259E
ModelName = HG8247H
Description = EchoLife HG8247H GPON Terminal (CLASS B+/PRODUCT ID:2150082608EGF5000768)
ManufactureInfo= 2150082608EGF5000768.C602
ProductClass = HG8247H
SpecVersion = 1.0
ProvisioningCode =
UpTime = 126 seconds
ReleaseTime = 2014-12-29_00:18:19
UpPort mode = 1
*************************************************
success!
抱歉太晚回覆大大,這星期雜事有些多,加上中華電信連大陸不是很穩定
另外這一台沒有LOID(G.984.1的RID)的認證,是因為韌體版本沒有嗎? 是不是需要其他版本韌體? 石光上林 发表于 2015-8-15 16:11
樓主您好
想請問您,HG8247H的超級密碼解法,和您的HG8346R應該差不多吧?
8247H在大陆没见过,只玩过8245H和8247(a)
能否发版本号一看:
display version
display deviceInfo 收到很多问询,统一回复如下:
① 本破解方案不是仅仅适用于北京联通的HG8346R,对固件版本是V300R013C10S112及以下的所有型号的华为光猫都有效(即V300固件的),这里面还包括HG8120C、HG8145C、HG8245C、HG8342R等等。
② 对于安装 V300R013C10S112以上版本(包括R015)的固件的猫,由于WAP下已经屏蔽了backup cfg命令,所以无法使用这个命令备份配置文件了,但仍然可以采用其它方式备份配置文件,然后再使用同样的思路破解。 用的是阉割严重的i120e,几乎常用方法失效,头疼。楼主好威武,贊贊。 呵呵 真是高手佩服!佩服!业余真有高人啊!工具是最新的! 思路是最新的,谢谢! 北京已经不错了,给的光猫至少不是阉割版的,吉林省长春市给的广袤全是阉割的最低配置版的。坑爹啊。目前来说最好的还是千兆的HG8245,8346R GPON的有线是百兆的。的哦啊还语音自己设置了能用了,其他参数也得自己设置,原来联通给配的猫是HG8110,再后来给配的就是HG8311,HG8311就不能用Telnet了。8346R没试,用超级账户和密码进去自己改的。为了调试HG8245装了2条光纤。没被坑死。 华为的光猫我接触的比较少,我这边有台华为的8321R不知道怎么清空配置,放在那里吃灰呢 楼主厉害啊,mark一下 支持楼主 , 好思路呀! tom96202 发表于 2015-8-9 21:59
支持楼主 , 好思路呀!
其实这个思路我在你的帖子和你交流的时候都告诉你了,可能当时你理解不深吧。 你现在换烽火了,我就不懂了。{:soso_e112:} irc163 发表于 2015-8-10 09:30
其实这个思路我在你的帖子和你交流的时候都告诉你了,可能当时你理解不深吧。 你现在换烽火了,我就不懂 ...
烽火的 密码出来了。 进去看看也没啥可玩的。试了下双拨不行。 LZ HG8310M 无 WAN口配置界面能界面吗?我通过telecomamdin账号密码进去的!无WAN设置界面!