中兴2.5G电口光猫F7607P闪存备份供大神分析
本帖最后由 adsluser11 于 2022-9-10 23:16 编辑进了telnet,把闪存备份了出来,本着技术共享的原则,发出来给大家研究,看看有什么漏洞可以利用没
rootfs分区是jffs2格式,我在debian下挂在出来然后打包,方便大家直接研究:
有几个包含个人信息的无关紧要的分区我就没包含进去了,两个kernel分区是一模一样的,就只传了一个,userconfig目录在删除了个人配置后上传
欢迎各位大神研究讨论,打倒奸商
<blockquote>/ # cat /proc/version
/ # cat /proc/mtd
dev: size erasesizename
mtd0: 10000000 00020000 "whole flash"
mtd1: 00200000 00020000 "u-boot"
mtd2: 00200000 00020000 "others"
mtd3: 00200000 00020000 "parameter tags"
mtd4: 00200000 00020000 "wlan"
mtd5: 00800000 00020000 "usercfg"
mtd6: 00600000 00020000 "middle"
mtd7: 02800000 00020000 "kernel1"
mtd8: 02800000 00020000 "kernel2"
mtd9: 03200000 00020000 "osgi1"
mtd10: 03200000 00020000 "osgi2"
mtd11: 03600000 00020000 "plugin_data"
mtd12: 024e0000 00020000 "rootfs"mount
/dev/root on / type jffs2 (ro,relatime)
proc on /proc type proc (rw,nosuid,relatime)
sysfs on /sys type sysfs (rw,nosuid,relatime)
debugfs on /sys/kernel/debug type debugfs (rw,nosuid,relatime)
/dev/mtdblock3 on /tagparam type jffs2 (rw,relatime)
tmpfs on /var type tmpfs (rw,relatime,size=20480k)
tmpfs on /upgtempfile type tmpfs (rw,relatime,size=102400k)
tmpfs on /var/osstmp type tmpfs (rw,relatime,size=2048k)
tmpfs on /mnt type tmpfs (rw,relatime,size=2048k)
tmpfs on /var/felix-temp type tmpfs (rw,relatime,size=16384k)
tmpfs on /tmp type tmpfs (rw,relatime,size=15360k)
/dev/mtdblock5 on /userconfig type jffs2 (rw,relatime)
/dev/mtdblock6 on /usr/local/ct type jffs2 (rw,relatime)
ubi0_0 on /usr/tmp type ubifs (ro,sync,relatime)
/dev/loop0 on /usr/java type squashfs (ro,relatime)
ubi1_0 on /usr/plugin type ubifs (rw,sync,relatime)
/dev/mtdblock4 on /wlan type jffs2 (rw,relatime)
cgroup_root on /sys/fs/cgroup type tmpfs (rw,relatime)
cpu on /sys/fs/cgroup/cpu type cgroup (rw,relatime,cpu)
cpuacct on /sys/fs/cgroup/cpuacct type cgroup (rw,relatime,cpuacct)
cpuset on /sys/fs/cgroup/cpuset type cgroup (rw,relatime,cpuset)
memory on /sys/fs/cgroup/memory type cgroup (rw,relatime,memory)
/dev/sda on /mnt/usb1_1 type fuseblk (rw,relatime,user_id=0,group_id=0,allow_other,blksize=4096)/usr/java/bin # ls /bin
ash gpon_omci netstat sleep
bndmange gpontest nice smbd
bobtest grep nmbd smbpasswd
brctl gunzip ntfs-3g switchtst
buservice gzip oamtest sync
busybox hostname openl2tpd tar
cat httpd opticaltst tc
chgrp igmp_proxy osgid tcping
chmod ip p910nd telnetd
chown ip6tables pc test_minioltlib
cmapidbg ipsec phddns testftp
cp iptables ping touch
cpio ipv4protocol ping6 tr069d
cspd ipv6protocol portmap traceroute1
ctsgw_proxyd kill pppd tso
date kshell pppoe-server umount
dd l2tpconfig ps uname
devmem2 ln pwd upgradetest
df login redir upnpd
dipc logtousb rm usbtest
dmesg ls rmdir usbtool
dnsdomainname lzop routed voip
dnsmasq memtest rpm voipstat
ebtables minioltdebug sdtest vsftpd
echo mkdir sed wbctl
egrep mknod sendcmd wgets
epontest mld_proxy setmac wput
ethdriver_test mount sh wput_ftp
fgrep msntp shellproxy wput_tftp
fpga multiapd shellproxy_gettyxpondrvARM32.bin
ftest multicast_test shellproxyctrl z3gateway
fw_flashing mv simulation zcat
getopt nand slctool zxspdtest
/usr/java/bin # ls /sbin
BCLSockServerhostapd lsmod swapon ubirename
band_steeringhostapd_2.4g mtd_debug ubiattach ubirmvol
dump_handler hostapd_5g pivot_root ubicrc32 ubirsvol
dutserver hostapd_cli poweroff ubidetach ubiupdatevol
dwpal_cli ifconfig reboot ubiformat
force_roaminginit rmmod ubimkvol
getty insmod route ubinfo
halt iw swapoff ubinize
/userconfig/cfg # cat /proc/cpuinfo
processor : 0
BogoMIPS : 50.00
Features : fp asimd crc32
CPU implementer : 0x41
CPU architecture: 8
CPU variant : 0x0
CPU part : 0xd03
CPU revision : 4
processor : 1
BogoMIPS : 50.00
Features : fp asimd crc32
CPU implementer : 0x41
CPU architecture: 8
CPU variant : 0x0
CPU part : 0xd03
CPU revision : 4
processor : 2
BogoMIPS : 50.00
Features : fp asimd crc32
CPU implementer : 0x41
CPU architecture: 8
CPU variant : 0x0
CPU part : 0xd03
CPU revision : 4
processor : 3
BogoMIPS : 50.00
Features : fp asimd crc32
CPU implementer : 0x41
CPU architecture: 8
CPU variant : 0x0
CPU part : 0xd03
CPU revision : 4
转下之前回复的贴子:
说下改地区及永久获取telnet权限步骤吧,其实很简单,总结如下:
telnetONU1.6版本(需要官方授权,或者找楼主,联系群内大佬支持,楼主和群内大佬都很热心肠,能看出来都是喜欢折腾的大神...聊天点击楼主建的链接https://stin.to/u5xdx)
软件界面直接点击获取用户名和密码,可以得到临时telnet账号密码
更改地区步骤
输入命令:/etc/init.d/regioncode ,获取自己所要切换省份代码,比如陕西315(注意:山西是shanxi2)
输入命令:upgradetest sdefconf 315
光猫会自动重启
切换地区后终于可以正常下发配置了,不用自己手动设置那么麻烦了!
这个应该是陕西第一台正常下发配置的中兴FTTR设备F7607P了吧?哈哈。。。
中兴和华为这两套FTTR使用下来,这个确实比华为那套强多了(没有贬低的意思,华为那个也够用,只是中兴这个配置确实很强)
获取永久telnet权限步骤:
sendcmd 1 DB set TelnetCfg 0 TS_Enable 1 开启telnet
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1 开启本地telnet
sendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1在OLT注册之后继续开启本地telent
sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd XXXX 修改root密码为xxxx
sendcmd 1 DB save 保存
记得重启光猫
获取telnet后这些已经足够用了,如果想要更多命令,可以参考如下链接
https://www.daimajiaoliu.com/daima/7b7570abf4c6802
老板有没有G1620的备份文件
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
sendcmd 1 DB set TelnetCfg 0 TS_UName root
sendcmd 1 DB set TelnetCfg 0 TSLan_UName root
sendcmd 1 DB set TelnetCfg 0 TS_UPwd Zte521
sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd Zte521
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 999999
sendcmd 1 DB set TelnetCfg 0 WanWebLinkToTS 1
sendcmd 1 DB set TelnetCfg 0 ExitTime 99999999
sendcmd 1 DB set TelnetCfg 0 CloseServerTime 99999999
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
sendcmd 1 DB save
reboot
InitSecLvl猜测是控制root用户名权限的,山东移动定制版默认为3,河南联通为0,河南联通的root账户登陆后运行很多命令都权限不足,改为3后正常 感谢楼主大神分享!支持一波!!!!! 请教一下,debian如何挂载jffs2格式。并且打包导出 caijay2009 发表于 2022-9-11 12:49
请教一下,debian如何挂载jffs2格式。并且打包导出
安装mtdram,生成虚拟的mtdblock设备,然后把提取出来的闪存镜像dd到虚拟的mtdblock,然后挂载出来。其他格式的分区镜像都同理 这个能补全界面吗? 请教一下,怎么telnet进的啊 ht514414031 发表于 2022-9-11 16:59
请教一下,怎么telnet进的啊
工具是别人的,远程帮我开启的,目前不会破解软件 有大神分析一下,CMCC,成功的引起我的强迫症