a5s5d6f6 发表于 2012-12-23 20:12 static/image/common/back.gif
奇怪 lz的i240wq里面和我的不一样啊.....我的是长这样的
你的I-240W-Q应该是这个外型吧。
新的是这种。
这也太高端了
我也是新的这种,杭州电信的20M,无线倒是可以用,可恨的是限制了连接数量,只能有3台设备同时上网
试试这个,https://www.chinadsl.net/thread-78718-1-1.html
maidoo 发表于 2012-12-23 15:15 static/image/common/back.gif
串口定义如下。火热出炉的,昨天刚装上的光宽带,今天在电信官网上申请升级到了20M带宽。爽!
今天早上拆了 ...
对电信的12M和以上都没兴趣了,上行128Kbps。。。TMLGBD!
联通10M双拨3年比电信4M1年都便宜。
maidoo 发表于 2012-12-23 15:15 static/image/common/back.gif
串口定义如下。火热出炉的,昨天刚装上的光宽带,今天在电信官网上申请升级到了20M带宽。爽!
今天早上拆了 ...
话说不知道什么时候电信不知不觉还是用GPON了。2年前装的8M用的还是中兴F410 EPON的,我又装个新的就是GPON了。。。
maidoo 发表于 2012-12-23 14:48 static/image/common/back.gif
LZ你赶快搞,我的也是杭州电信的,网上的方法都试过了,都不行的。
串口我已经连上了,115200 Kbps,启动后 ...
兄弟,下面这个是华为的操作方式,我觉得可以借鉴,不过可能路径,内容有点差别,不过应该类似,今天徒弟把串口小板带出去了,没搞,明天我再搞搞。
发信人: mpyu (民工于某), 信区: DigiHome
标题: 华为HG8245光猫破解教程
发信站: 水木社区 (Mon Jul 30 01:52:43 2012), 站内
本文是原创,欢迎到处转贴,以帮助更多的人.
最近电信光纤改造,给了一个"华为HG8245"的光猫
众所周知,凡是天朝定制的东西一概是有限制且脑残的
需要分分钟破解掉它.
进入正题之前说一句...需要您有一点Linux基础,
否则,很可能看不明白我在说啥.
破解的主要工作
1) 拿到超级密码,完全掌控设备
2) 破除同时上网的机器限制
3) 不让电信追踪你
4) 开路由,Wifi,充分利用设备
下面开始.
首先...试试用户 telecomadmin 密码 nE7jA%5m 能不能进去
电信定制的东西,一般是可以的,进去以后,网络->宽带设置
把里面几条设置记下来,主要记 vlan id 和 802.1p 那两项
这个记下来,以后有用,最好再找个U盘,备份一下配置,以防万一.
如果进不去... telnet 到 192.168.1.1 用户名 root 密码
admin 进去以后敲 shell 回车,这就是一个简易的linux shell
cd /mnt/jffs2/ 然后 ls 看,里面有几个东西是重要的
hw_ctree.xml 这个是我们要改的配置文件,还有一个
hw_ctree_bak.xml 这是"备份"用的,hw_default_ctree.xml
这个是"出厂默认"的.
vi hw_ctree.xml 这个文件....不会用vi的去补课先....
首先,查找这段...
<X_HW_WebUserInfo NumberOfInstances="2">
<X_HW_WebUserInfoInstance InstanceID="1" UserName="telecomadmin"
Password="nE7jA%5m" UserLevel="1" Enable="1"/>
<X_HW_WebUserInfoInstance InstanceID="2" UserName="useradmin"
Password="admin" UserLevel="0" Enable="1"/>
</X_HW_WebUserInfo>
恩,现在你可以把telecomadmin,useradmin改成你喜欢的名字
密码改成你喜欢的密码....
接着,查找这段.
<X_HW_CLIUserInfo NumberOfInstances="1">
<X_HW_CLIUserInfoInstance InstanceID="1" Username="root"
Userpassword="21232f297a57a5a743894a0e4a801fc3"/>
</X_HW_CLIUserInfo>
这个是你刚才telnet登录的用户名和密码,其中 admin 经过md5
之后就是 21232f297a57a5a743894a0e4a801fc3 你可以改成别的
比如你想改成 123456 那么在Linux底下
# echo -n 123456|md5sum
e10adc3949ba59abbe56e057f20f883e-
改成Userpassword="e10adc3949ba59abbe56e057f20f883e" 就
可以了,手头没有Linux的话,找个"在线算md5"的地方也成...
还有一个地方,查找
<X_HW_UserInfo UserName="SZ00***" UserId="" Status="0" ....
<X_HW_ServiceManage FtpEnable="0" FtpUserName="root"
FtpPassword="123456" FtpPort="21" FtpRoorDir="/mnt/usb1_1/"
FtpUserNum="0"/>
<X_HW_AmpInfo EthLoopbackTimeout="0" LoidAuthLedEnable="1"/>
这一段,是控制用ftp上传/下载文件(一般是刷固件)时候使用的密码
这里改不改都行了,手勤快就把 FtpUserName 和 FtpPassword 都改了.
再然后,查找这段
<X_HW_PortalManagement Enable="0" DefaultUrl=""/>
<X_HW_AccessLimit Mode="GlobalLimit" TotalTerminalNumber="2"/>
</Service>
妈X,真底限,这个TotalTerminalNumber的意思就是,同时只能有2台
设备上网,多了不让,随便改个你喜欢的数字,比如256差不多了吧...
改到这里,基本上可以了,但是如果你注意看,在管理界面->网络->
宽带设置 里面,第一个链接,是删不掉的,这个偏偏又是*TR069*
这个协议是电信用来控制你的设备的,有了这东西,你的设备啊,内网啊
基本就是透明的,所以,我认为这破玩意必须删掉.
删除这个比较复杂,你需要知道XML的组织方式,找到这一段
<WANConnectionDevice NumberOfInstances="2">
<WANConnectionDeviceInstance InstanceID="1" WANIPConnecti....
<X_HW_WANUpLinkConfig X_HW_Enable="1" X_HW_Mode="2" X_HW_....
<WANPPPConnection NumberOfInstances="1">
<WANPPPConnectionInstance InstanceID="1" Enable="1" Reset....
</WANPPPConnection>
</WANConnectionDeviceInstance>
<WANConnectionDeviceInstance InstanceID="2" WANIPConnecti...
<X_HW_WANUpLinkConfig X_HW_Enable="1" X_HW_Mode="2" X_HW_...
<WANIPConnection NumberOfInstances="1">
<WANIPConnectionInstance InstanceID="1" Enable="1" Reset...
<X_HW_ExtendDHCPOPTION60 NumberOfInstances="4">
<X_HW_ExtendDHCPOPTION60Instance InstanceID="1" Enable=...
<X_HW_ExtendDHCPOPTION60Instance InstanceID="2" Enable=...
<X_HW_ExtendDHCPOPTION60Instance InstanceID="3" Enable=...
<WANPPPConnection NumberInstance InstanceID="4" Enable=...
</X_HW_ExtendDHCPOPTION60>
</WANIPConnectionInstance>
</WANIPConnection>
</WANConnectionDeviceInstance>
</WANConnectionDevice>
很长的,我没有贴全,请注意观察, WANConnectionDevice 就是配置的
"wan"连接,其中每个 "WANConnectionDeviceInstance" 是一个配置项
这就好办了,如上面的第一行.... NumberOfInstances 是2个,我们要
删掉一个(减少一个),所以这里改成1.
下面每个WANConnectionDeviceInstance都有一个InstanceID,第一个
是1,第二个是2,先看看第一个,从头看到尾,发现了"TR069"字眼,没错
就是它! 于是,从<WANConnectionDeviceInstance InstanceID="1"...
开始,一直删到最近的 </WANConnectionDeviceInstance> 结束,搞掂.
然后保存退出:wq 重启设备,用刚才改过的telecomadmin用户和密码登录
看看是不是好使了,那个TR069的链接是不是删掉了.telnet一下看看密码
是不是改掉了.
一切顺利的话,进去删掉 hw_ctree_bak.xml hw_default_ctree.xml
这俩文件,用 hw_ctree.xml 覆盖.
rm -rfhw_ctree_bak.xml hw_default_ctree.xml
cp hw_ctree.xml hw_ctree_bak.xml
cp hw_ctree.xml hw_default_ctree.xml
保存劳动成果,恩...
进管理界面...网络->宽带设置,如果你电话走光猫的话,需要添加一个
VOIP类型的链接,vlan id 用刚才记下来的,在添加一个INTERNET类型的
连接,同样用刚才记下来的 vlan id, 是不是开路由看你的喜好.保存
重启,这就全部搞定了...
其他配置,诸如无线,防火墙神马的,都很简单,配过家用路由的人应该
一看就懂,故不赘述.
华为的其他定制设备,也是类似的办法改配置文件,不同的是,它的配置
可能是加密的,但加密方法脆弱,可以写个小程序,加密/解密就随便搞了,
默认没有开telnet服务的话(比如华为HG622),需要用备份/恢复的方法
来写入"自定义配置文件", 备份->解密->修改->加密->恢复 这么个过程.
-- 以下是无关话题 --
既然说到华为的这个加密,那就讲一下算法...*几乎所有* 华为家用设备
备份出来的"配置文件",都是这么加密的,有C++代码供参考:
加密,就是挨个把ascii值乘以2,如果超过127了,就减去127,完活.
string encode(string input){
string rtn="";
for(int i=0;i<(signed)input.length();++i){
unsigned char val=input.data();
int n=val*2;
if(n>127){
n-=127;
}
rtn.append(1,(char)n);
}
return rtn;
}
解密,就是加密的逆过程,模2看看,如果是单数,说明是减过127的.
加回来除以2,双数说明根本没超,直接除2了事.
string decode(string input){
string rtn="";
for(int i=0;i<(signed)input.length();++i){
unsigned char val=input.data();
int n=0;
if(val%2){
n=(val+127)/2;
}else{
n=val/2;
}
rtn.append(1,(char)n);
}
return rtn;
}
-- 无关话题结束 --
最后,引用一句装逼的话,结篇.
“Across the Great Wall We Can Reach Every Corner in the World”
和华为的不一样,我简单看了下,jffs2的分区在 /configs,另一个是空的。
# mount
rootfs on / type rootfs (rw)
/dev/root on / type cramfs (ro)
proc on /proc type proc (rw)
tmpfs on /tmp type tmpfs (rw)
/dev/mtdblock7 on /configs type jffs2 (rw)
/dev/mtdblock7 on /usr/local/ct type jffs2 (rw)
devpts on /dev/pts type devpts (rw)
none on /proc/bus/usb type usbfs (rw)
/configs路径下面有些文件,我到WEB界面修改了一下配置,然后就看见 config.cfg的时间戳刷新了。这个文件是乱码,先搞出来,明天再研究。
# ls -l
-rw-r--r-- 1 root root 256 Jan11970 3FE54854BABA_ri.img
drwxr-xr-x 4 root root 0 Jan11970 alcatel
---------- 1 root root 33808 Dec 24 21:29 config.cfg
-rwxr-S--T 1 root root 33808 Dec 24 21:29 config.cfg.bak
drwxr-xr-x 2 root root 0 Jan11970 ct
-rw-r--r-- 1 root root 256 Jan11970 hgu_loginid
-rw-rw-rw- 1 root root 63463 Jan11970 messages
-rw-rw-rw- 1 root root 102415 Jan11970 messages.0
-rw-r--r-- 1 root root 256 Jan11970 riconfig
drwxr-xr-x 2 root root 0 Jan11970 tr069_conf
-rw-r--r-- 1 root root 0 Jan11970 wpapskfile
另外,在/tr069_conf路径下的这个文件的内容有点意思:
#
# cat 3FE54854BABA_ri.img
01ALCL003FE54854BABA000000000000000000000000000000000000000000000000000000000000004VxDB000000000000000000000000000000
▒00 user pwd telecomadminnE7jA%5m ChinaNet-ABCD12345678 iTV-1234123456780000000000000000000000000000▒▒00#
黑洞老兄你赶快啊,串口小板我有很多,我在滨江一桥附近上班。你离我近的话来拿一个吧。
darkhole 发表于 2012-12-24 19:43 static/image/common/back.gif
对电信的12M和以上都没兴趣了,上行128Kbps。。。TMLGBD!
联通10M双拨3年比电信4M1年都便宜。
我的光宽带 20M下行,2M上行。免费升级的。
我原来的ADSL 4M下行,上行也有512K。说你你说128K上行有点问题吧?电信工作人员说法是10%的上行速度。
maidoo 发表于 2012-12-24 21:54 static/image/common/back.gif
我的光宽带 20M下行,2M上行。免费升级的。
我原来的ADSL 4M下行,上行也有512K。说你你说128K上行有点问 ...
2M上行还不够惨么。。。12M一下都是1M上行,128K是字节,2M上行是bps,我用联通10Mbps上行。电信12M也只有1mbps=128KB/s。。。